Fortinet: Angreifer nutzen kritische Schwachstellen im VPN für künftige Attacken

US-Sicherheitsbehörden melden Advanced Persistent Threat: Organisierte Cyberkriminelle stehlen Zugangsdaten staatlicher Stellen durch Lücken im Fortinet-VPN.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 42 Beiträge

(Bild: evkaz/Shutterstock.com)

Update
Von
  • Silke Hahn

Wie FBI und CISA (Cybersecurity and Infrastructure Agency) mitteilen, ist das VPN (Virtual Private Network) von Fortinet, einem Hersteller von IT-Sicherheitssoftware, zurzeit wohl von Angriffen durch fortschrittliche Cyberkriminelle betroffen. Die Akteure seien gut organisierte Gruppen, die sich durch gängige Exploitation-Techniken Zugang zu staatlichen, privatwirtschaftlichen und technologischen Diensten verschafften, um darin sogenannte "Brückenköpfe" für spätere Angriffe zu platzieren. Die beiden US-amerikanischen Bundesbehörden sprechen in ihrer Stellungnahme (Joint Advisory) von einem Advanced Persistent Threat (APT).

Betroffen sind dem Advisory zufolge hauptsächlich Border-Firewalls, die zum Abschirmen sensibler interner Netzwerke vom öffentlichen Internet dienen. Zwei der genannten Schwachstellen sind zwar bereits gepatcht, gelten aber als besonders schwerwiegend, da Angreifer durch sie unter Umgehung der Authentifizierung Zugangsdaten abgreifen können und sich mit noch nicht aktualisierten VPN weiterhin verbinden könnten.

Die VPN-Anmeldeinformationen können den Angreifern im ungünstigsten Falle unmittelbar Zugriff auf andere interne Dienste eröffnen, die mit dem VPN verknüpft sind (wenn es sich beispielsweise um Single-Sign-on-Informationen handelt wie bei einem Active Directory). Als gepatcht gelten die beiden älteren Schwachstellen CVE-2020-12812 (zum Umgehen der Zweifaktor-Authentifizierung, gepatcht im Juli 2020) und CVE-2018-13379 (gepatcht im Mai 2019). Letztere ermöglichte es nicht authentifizierten Angreifern, Betriebssystemdateien herunterzuladen. Auch Passwortdatenbanken lassen sich auf diese Weise ausnutzen, geht aus dem Advisory hervor. Mit einer dritten Schwachstelle (CVE-2019-5591, gepatcht im Juli 2019) lassen sich offenbar interne Dienste ausnutzen und Angreifer können das Netzwerk erkunden.

Lesen Sie auch

Dem Advisory zufolge werden alle drei Schwachstellen zurzeit wohl weiterhin aktiv ausgenutzt, obwohl sie herstellerseitig gepatcht sind. Betroffenen hat Fortinet in einer Stellungnahme gegenüber dem Tech-Portal Ars Technica zu umgehendem Upgrade veralteter Versionen geraten. Zum Beseitigen der Schwachstellen müssen IT-Administratoren der Meldung zufolge die Konfiguration ändern. Betreibt ein Unternehmen nur ein VPN, kann es dabei zu Ausfallzeiten kommen. Laut Advisory sei das Risiko durch Ransomware oder Spionage jedoch größer.

Weiterführende Hinweise lassen sich dem Joint Advisory des FBI und der CISA entnehmen.

Das IT-Sicherheitsunternehmen Kaspersky Labs hat Anfang Januar unter anderem einen Vorfall untersucht, bei dem eine Firma durch Ransomware die Produktion einstellen musste. Initialer Angriffsvektor war dabei eine Fortinet Firewall mit den besagten Sicherheitslücken, wie Stephan Gerling, Senior Security Researcher im Industrial Systems Emergency Response Team (ICS-CERT) von Kaspersky, heise Security mitgeteilt hat. Die vom Kaspersky-Team im ersten Quartal 2021 untersuchten und dokumentierten Angriffe mit der Ransomware Cring lassen sich offenbar alle auf die Schwachstelle im VPN von Fortigate zurückführen.

Ablauf der Angriffe durch die Fortigate-Schwachstelle mit der Ransomware Cring

(Bild: Kaspersky Labs)

Den vollständigen Report "Vulnerability in Fortigate VPN servers is exploited in Cring ransomware attacks" finden Interessierte auf der Kaspersky-Website, er hält Details zu den Angriffen und der Vorgehensweise der Angreifer bereit. Der Bericht führt auch Empfehlungen auf, wie man das Firmen-VPN vor solchen Angriffen schützt.

[Update-Hinweis vom 08.04.2021: Absatz mit Hintergrundinformationen von Kaspersky zum Ransomware-Vorfall ergänzt.]

(sih)