+43 699 / 18199463
office@itexperst.at

Sicherheitslücke in Fortinet FortiOS: FBI und CISA Warnung

Sowohl das FBI und die Cybersecurity and Infrastructure Security Agency haben eine gemeinsame Warnung herausgegeben. Demnach scannen Hacker nach bekannten Schwachstellen auf den Ports 4443, 8443 und 10443 in Fortinet FortiOS SSL-VPNs. Die Hacker, so hieß es in der Warnung, „könnten die Schwachstellen ausnutzen, um sich Zugang zu Netzwerken von Behörden, Handelsunternehmen und Technologiedienstleistern zu verschaffen“. FBI und CISA baten alle Fortinet Nutzer dringend die vorhandenen Updates vorzunehmen.

Obwohl diese Schwachstellen laut SANS IT-Sicherheitsexperte Johannes Ullrich schon länger bekannt sind, werden sie nicht nur von Hackern ausgenutzt. Auch andere Hackergruppen interessieren sich dafür. Das remote Patchen von Rechnern, wenn alle gerade von zu Hause aus arbeiten, birgt natürlich Risiken, so Ullrich. Aber auch wenn es riskant sei zu patchen, wäre es noch viel schlimmer, wenn der Rechner kompromittiert werden würde. Also: Patchen bitte!

Hacker scannen das Internet nach Fortinet FortiOS Schwachstellen

Anfang April brachten das FBI und die CISA ein gemeinsames sogenanntes Cybersecurity-Advisory heraus. Darin wurde aufgezeigt, dass Hackergruppen seit einer Weile gezielt Schwachstellen in Fortinet FortiOS ausnutzen. Welche APT-Gruppe nach drei Schwachstellen in Fortinets Betriebssystem FortiOS scannt, ist nicht bekannt. Die Hackergruppen zielen gegen Unternehmen des privaten Sektors und US-Regierungsbehörden, um Cyberspionage zu betreiben. In der Warnung wurde von einem Anstieg der Scan-Aktivitäten für die Schwachstellen gesprochen, der seit März 2021 beobachtet wurde.

Die Scanaktivitäten sind auf internetfähige Geräte auf den Ports 4443, 8443 und 10443 für CVE-2018-13379 in FortiOS ausgerichtet. Beobachtet wurden auch Scans für die Schwachstellen CVE-2020-12812 und CVE-2019-5591. Damit möchten die Angreifer sich Zugang zu Netzwerken in mehreren kritischen Infrastrukturbereichen verschaffen. Sind sie erst in den entsprechenden Netzwerken, können weitere Angriffe zur Datenspionage oder Datenverschlüsselung durchgeführt werden.

Die Fortinet FortiOS Schwachstellen

CVE-2018-13379 ist in mehreren Versionen des Fortinet FortiOS SSL VPN-Webportals zu finden. Damit können Hacker Systemdateien über SSL VPN herunterladen.

CVE-2020-12812 ist eine unzulässige Authentifizierungsschwachstelle in SSL-VPN, die mehrere FortiOS-Versionen angreift. Hacker ist es damit möglich, sich ohne Authentifizierung erfolgreich anzumelden.

CVE-2019-5591 ist eine Schwachstelle in der Standardkonfiguration von FortiOS. Sie ermöglicht einem nicht authentifizierten Angreifer, sensible Informationen abzufangen, indem er sich als LDAP-Server ausgibt.

Hacker können Schwachstellen vielfältig ausnutzen

Hacker verwenden die drei FortiOS Schwachstellen für sogenannte Path Traversal Angriffe, um an wichtige Systemdateien zu gelangen. Path-Traversal-Angriffe ist eine Injektion von „../“-Mustern, um in der Server-Verzeichnishierarchie weiter nach oben zu gelangen. Ziel ist es dabei, auf nicht autorisierte Dateien oder Verzeichnisse außerhalb des Webroot-Ordners zuzugreifen. Ist der Path-Traversal-Angriff erfolgreich, könnten Hacker Zugriff auf Anmeldedaten, Konfigurationsdateien oder sogar Datenbanken erhalten. Das Patchen dieser Schwachstelle schließt jedoch das Tor für derartige Angriffe.

Die Schwachstellen könnten auch von Hackern ausgenutzt werden, um gültige Zugangsdaten abzugreifen. Anschließend könnten dann Man-in-the-Middle-Angriffe durchgeführt werden.

FortiOS-Warnung folgt Mircosoft Exchange Server Schwachstellen

Die CISA hatte erst zwei Tage zuvor eine Notfallrichtlinie zu den Schwachstellen im Microsoft Exchange Server herausgegeben. Empfohlen wurde darin, das Test-ProxyLogon.script und das Safety Scanner-Tool von Microsoft auszuführen. Damit könnten Datenpannen festgestellt werden.

Fortinet selbst hatte ein Patch für CVE-2018-13379 im August 2019 veröffentlicht. In Blogbeiträgen aus dem Juli 2020 gab es weitere Informationen, die vor aktiven Angriffen durch APT29 warnten. Wiederholt forderte Fortinet Nutzer auf, das Upgrade und das Patch zu schnell wie möglich zu implementieren.

Empfohlene Sicherheitsmaßnahmen gegen FortiOS Schwachstellen

Die CISA hat verschiedene Maßnahmen vorgeschlagen, um Systeme vor staatlich gesponserten Angriffen zu schützen, welche die Schwachstellen in FortiOS ausnutzen:

  • Häufig Datensicherungen vornehmen. Sicherungskopien sollten offline mit einem Passwort gespeichert werden.
  • CVE 2018-13379, 2020-12812 und 2019-5591 sollten umgehend gepatcht werden.
  • Implementierung einer Netzwerksegmentierung. Ein wirksamer Wiederherstellungsplan sollte vorhanden sein.
  • Wenn möglich, sollte eine Multi-Faktor-Authentifizierung verwendet werden.
  • Wenn FortiOS nicht verwendet wird, sollten dennoch wichtige Artefaktdateien, die von FortiOS verwendet werden, der Ausführungsverweigerungsliste hinzugefügt werden.
  • Passwörter für Netzwerksysteme und Konten sollten regelmäßig geändert werden.
  • Deaktivierung von nicht genutzten Remote-Zugriffs-/Remote-Desktop-Protokollen (RDP)-Ports und Überwachung von Remote-Zugriffs-/RDP-Protokollen.
  • Überprüfung von Benutzerkonten mit administrativen Rechten. Zugriffskontrollen sollten mit den geringsten Privilegien konfiguriert werden.
  • An externen E-Mails sollte ein E-Mail-Banner hinzugefügt werden.
  • Admin-Anmeldedaten sollten für die Installation von Software erforderlich sein.
  • Updates/Patches für Betriebssysteme, Software und Firmware sollten gleich nach Veröffentlichung installiert werden.
  • Sensibilisierung und Schulung der Nutzer in Sachen Informationssicherheit, insbesondere im Erkennen und Vermeiden von Phishing-E-Mails.

Artikel von arstechnica.com, 02.04.2021: Feds say hackers are likely exploiting critical Fortinet VPN vulnerabilities
Artikel von fcw.com, 02.04.2021: CISA, FBI warn of hacking threat against Fortinet product
Artikel von threatpost.com, 02.04.2021: FBI: APTs Actively Exploiting Fortinet VPN Security Holes
Artikel von cyberscoop.com, 02.04.2021: Advanced hackers use Fortinet flaws in likely attempt to breach government networks, feds warn

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0: Ricardo Gomez Angel auf unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen