Fortinet: Angreifer nutzen kritische Schwachstellen im VPN für künftige Attacken
US-Sicherheitsbehörden melden Advanced Persistent Threat: Organisierte Cyberkriminelle stehlen Zugangsdaten staatlicher Stellen durch Lücken im Fortinet-VPN.
(Bild: evkaz/Shutterstock.com)
- Silke Hahn
Wie FBI und CISA (Cybersecurity and Infrastructure Agency) mitteilen, ist das VPN (Virtual Private Network) von Fortinet, einem Hersteller von IT-Sicherheitssoftware, zurzeit wohl von Angriffen durch fortschrittliche Cyberkriminelle betroffen. Die Akteure seien gut organisierte Gruppen, die sich durch gängige Exploitation-Techniken Zugang zu staatlichen, privatwirtschaftlichen und technologischen Diensten verschafften, um darin sogenannte "Brückenköpfe" für spätere Angriffe zu platzieren. Die beiden US-amerikanischen Bundesbehörden sprechen in ihrer Stellungnahme (Joint Advisory) von einem Advanced Persistent Threat (APT).
Firewalls zum Abschirmen interner Netzwerke betroffen
Betroffen sind dem Advisory zufolge hauptsächlich Border-Firewalls, die zum Abschirmen sensibler interner Netzwerke vom öffentlichen Internet dienen. Zwei der genannten Schwachstellen sind zwar bereits gepatcht, gelten aber als besonders schwerwiegend, da Angreifer durch sie unter Umgehung der Authentifizierung Zugangsdaten abgreifen können und sich mit noch nicht aktualisierten VPN weiterhin verbinden könnten.
Zugriff auf interne Dienste durch Single-Sign-on
Die VPN-Anmeldeinformationen können den Angreifern im ungünstigsten Falle unmittelbar Zugriff auf andere interne Dienste eröffnen, die mit dem VPN verknüpft sind (wenn es sich beispielsweise um Single-Sign-on-Informationen handelt wie bei einem Active Directory). Als gepatcht gelten die beiden älteren Schwachstellen CVE-2020-12812 (zum Umgehen der Zweifaktor-Authentifizierung, gepatcht im Juli 2020) und CVE-2018-13379 (gepatcht im Mai 2019). Letztere ermöglichte es nicht authentifizierten Angreifern, Betriebssystemdateien herunterzuladen. Auch Passwortdatenbanken lassen sich auf diese Weise ausnutzen, geht aus dem Advisory hervor. Mit einer dritten Schwachstelle (CVE-2019-5591, gepatcht im Juli 2019) lassen sich offenbar interne Dienste ausnutzen und Angreifer können das Netzwerk erkunden.
Gepatchte Schwachstellen weiter ausgenutzt
Dem Advisory zufolge werden alle drei Schwachstellen zurzeit wohl weiterhin aktiv ausgenutzt, obwohl sie herstellerseitig gepatcht sind. Betroffenen hat Fortinet in einer Stellungnahme gegenüber dem Tech-Portal Ars Technica zu umgehendem Upgrade veralteter Versionen geraten. Zum Beseitigen der Schwachstellen müssen IT-Administratoren der Meldung zufolge die Konfiguration ändern. Betreibt ein Unternehmen nur ein VPN, kann es dabei zu Ausfallzeiten kommen. Laut Advisory sei das Risiko durch Ransomware oder Spionage jedoch größer.
Weiterführende Hinweise lassen sich dem Joint Advisory des FBI und der CISA entnehmen.
Cring-Ransomware durch Fortinet-Schwachstelle eingeschleust
Das IT-Sicherheitsunternehmen Kaspersky Labs hat Anfang Januar unter anderem einen Vorfall untersucht, bei dem eine Firma durch Ransomware die Produktion einstellen musste. Initialer Angriffsvektor war dabei eine Fortinet Firewall mit den besagten Sicherheitslücken, wie Stephan Gerling, Senior Security Researcher im Industrial Systems Emergency Response Team (ICS-CERT) von Kaspersky, heise Security mitgeteilt hat. Die vom Kaspersky-Team im ersten Quartal 2021 untersuchten und dokumentierten Angriffe mit der Ransomware Cring lassen sich offenbar alle auf die Schwachstelle im VPN von Fortigate zurückführen.
(Bild: Kaspersky Labs)
Den vollständigen Report "Vulnerability in Fortigate VPN servers is exploited in Cring ransomware attacks" finden Interessierte auf der Kaspersky-Website, er hält Details zu den Angriffen und der Vorgehensweise der Angreifer bereit. Der Bericht führt auch Empfehlungen auf, wie man das Firmen-VPN vor solchen Angriffen schützt.
[Update-Hinweis vom 08.04.2021: Absatz mit Hintergrundinformationen von Kaspersky zum Ransomware-Vorfall ergänzt.]
(sih)