105 Eine Reihe von Angriffen auf Fortinet FortiGate-Firewall-Geräte deutet auf die Ausnutzung einer bisher unbekannten Schwachstelle (Zero-Day) hin. Sicherheitsforscher von Arctic Wolf berichten von beobachteten Vorfällen, bei denen Angreifer über öffentlich zugängliche Verwaltungsoberflächen unberechtigte Administratoranmeldungen durchführen, Konfigurationen verändern, neue Benutzerkonten anlegen und SSL-VPN-Authentifizierungen durchführen. Die betroffenen FortiGate-Firmware-Versionen liegen nach bisherigen Erkenntnissen zwischen 7.0.14 und 7.0.16. Laut Arctic Wolf deutet die zeitliche Nähe der Angriffe in verschiedenen Organisationen darauf hin, dass es sich um eine bisher ungepatchte Sicherheitslücke handelt. Überblick über die Angriffskampagne Zero-Day-VerdachtDie Forscher haben zwar noch keine endgültigen Beweise für die genaue Angriffsvektormethode, sprechen jedoch von Indizien für eine Zero-Day-Schwachstelle. Angesichts der kurzen Abstände zwischen den Vorfällen sowie der betroffenen Firmware-Versionen halten die Experten es für höchstwahrscheinlich, dass eine unbekannte Lücke im FortiGate-System ausgenutzt wird.Ziele und UmfangDie Angriffe betreffen unterschiedliche Organisationsgrößen und Branchen. Ein spezifisches Zielprofil ist nicht ersichtlich, sodass man von eher opportunistischen Angriffen ausgeht. Details zum Ausmaß und zur Anzahl betroffener Systeme liegen noch nicht vollständig vor, da Arctic Wolf erst Anfang Dezember die ersten Unregelmäßigkeiten registrierte. Vorgehensweise der Angreifer Unautorisierter Zugriff per jsconsoleFortiGate-Geräte bieten Administratoren die Möglichkeit, über die webbasierte Managementoberfläche auf eine CLI (Command Line Interface) zuzugreifen. Hierfür wird das Interface jsconsole verwendet. Laut Arctic Wolf fiel auf, dass auffällig viele Login-Versuche über jsconsole von ungewöhnlichen IP-Adressen ausgingen. Während legitime Änderungen meist über SSH-Logins (gekennzeichnet als ssh) oder offizielle Web-GUIs vorgenommen werden, zeigt die Kompromittierung durch Angreifer massenhafte jsconsole-Events.Vier Phasen des AngriffsArctic Wolf teilt den Ablauf in vier zeitliche Segmente:Mitte November: Intensives Scannen der Geräte auf Schwachstellen.Ende November: Weitere Reconnaissance-Aktivitäten, um Konfigurationsinformationen zu sammeln.Anfang Dezember: Anpassung der SSL-VPN-Konfiguration, womöglich zur Vorbereitung auf spätere Zugriffe.Mitte bis Ende Dezember: Laterale Bewegungen im Netzwerk und DCSync-Technik, um auf Active-Directory-Daten zuzugreifen.Das Kampagnengeschehen ist weiterhin aktiv, sodass weitere Aktivitäten nicht ausgeschlossen werden können. Angriffsmethode und mögliche Auswirkungen Konfigurationsänderungen und KontoerstellungZu den beobachteten Aktionen zählt das Anlegen neuer Benutzer sowie das Ändern kritischer Firewalleinstellungen. Zudem nutzen die Angreifer die SSL-VPN-Funktion, um ins Netzwerk vorzudringen oder später lateral weiterzuziehen. Diese Angriffe gefährden sowohl die Integrität der Firewall selbst als auch die allgemeine Netzwerksicherheit.DCSync & Credential TheftIn manchen kompromittierten Umgebungen wird das DCSync-Verfahren (ein bekanntes Angriffsszenario auf Active Directory) eingesetzt, um Anmeldeinformationen abzugreifen. Erfolgreiche Angriffe können so zur Übernahme sensibler Accounts führen und den Angreifern weitreichenden Zugang ermöglichen. Empfehlungen für Administratoren 0. Ersetzen bzw. Nicht einsetzenIn Anbetracht der Schwere dieser und anderer Vorfälle rund um FortiGate stellt sich die Frage nach der Vertrauenswürdigkeit des Herstellers. Wenn Machbarkeitsanalysen und Sicherheitsbewertungen ergeben, dass das Risiko zu hoch ist, kann ein Wechsel des Firewall-Anbieters oder der Verzicht auf FortiGate-Lösungen sinnvoll sein. Angesichts essenzieller Bugs sollten IT-Verantwortliche die Vor- und Nachteile eines Umstiegs abwägen.1. Management Interfaces nicht öffentlich exponierenÖffentlich zugängliche Admin-Oberflächen stellen ein massives Risiko dar. Am besten werden diese Dienste nur übers LAN oder ein abgesichertes VPN zur Verfügung gestellt.2. Firmware-Updates einspielenZeitnahes Einspielen von Sicherheits-Patches senkt das Risiko bekannter Lücken. Regelmäßige Kontrollen der verfügbaren Firmware-Versionen sind elementar.3. Umfassendes MonitoringÜberwachung von Syslog und anderen Logsystemen ist entscheidend. Ungewöhnliche Login-Vorgänge, besonders über jsconsole, sollten automatisiert alarmieren.4. MFA und SegmentierungMehr-Faktor-Authentifizierung und Netzwerksegmentierung reduzieren die Angriffsfläche. Für Administrationszugriffe auf kritische Systeme sollte außerdem eine dedizierte Management-Umgebung existieren. Weitere 0-Days bei anderen Herstellern Sogenannte Zero-Day-Lücken finden sich nicht nur in Fortinet-Produkten. Auch andere Hersteller waren in der Vergangenheit von kritischen Exploits betroffen:Cisco AnyConnect (2023): Eine Zero-Day-Lücke ermöglicht potenziellen Angreifern Codeausführung mit Systemrechten.Palo Alto Networks PAN-OS (2022): Kritische Schwachstelle im GlobalProtect Portal, die ohne Authentifizierung ausnutzbar war, führte zu Remote Code Execution.SonicWall SMA 1000 Series (2021): Ein Zero-Day-Exploit ermöglichte unautorisierte Zugriffe auf VPN-Portale, bevor ein Patch verfügbar war.Juniper JunOS (mehrfach zwischen 2019 und 2021): Mehrere kritische Bugs, zum Teil Zero-Days, betrafen die SRX und MX Series, was zu Admin-Zugängen über HTTP führen konnte.Diese Beispiele zeigen, dass Zero-Days im Firewall- und VPN-Segment kein seltenes Phänomen darstellen. Umso wichtiger ist ein strukturiertes Patch- und Update-Management sowie ein Sicherheitskonzept, das nicht allein auf einzelne Appliance-Verteidigung setzt. Fazit und Ausblick Angriffe auf Firewalls sind nicht neu, jedoch zeigt sich an diesem aktuellen Fall, wie riskant öffentlich zugängliche Admin-Oberflächen sind. Die Vermutung, es handele sich bei den jüngsten FortiGate-Angriffen um eine Zero-Day-Lücke, unterstreicht die Verletzlichkeit auch moderner Geräte. Wer sich auf Fortinet-Produkte verlässt, steht unter Druck, Sicherheitspraktiken wie rasche Firmware-Updates, restringierte Adminzugänge und kontinuierliches Monitoring umzusetzen.Gleichzeitig sollten Unternehmen, die strategisch auf höchste Sicherheit Wert legen, eine Neubewertung vornehmen. Zero-Day-Lücken kommen bei vielen Herstellern vor, jedoch rückt die Vertrauensfrage in den Vordergrund: Wie schnell und transparent reagiert der Anbieter, und wie konsequent werden Security-Audits durchgeführt? Je nach Risikobewertung kann der Verzicht auf FortiGate-Produkte eine ernstzunehmende Option sein, bis alle offenen Fragen geklärt sind und die Sicherheitslücke behoben ist. CybercrimeNachrichtenSicherheit Vorheriger Beitrag Olight Kopflampe: Perun 2 vs. Perun 3 Nächster Beitrag Shelly Flood: Der smarte Wasserwarner für ein sicheres Zuhause You may also like Gebrauchte Seagate-Festplatten statt Neuware: Was steckt dahinter und wie erkennen Sie das? Januar 30, 2025 The Stargate Project: Droht uns ein reales Skynet oder ein Durchbruch für... Januar 28, 2025 Zwangsentsperrung per Fingerabdruck: Warum wir sie ablehnen und was das OLG Bremen... Januar 27, 2025 Gefälschte Steuerbescheide: So erkennen Sie Betrug und schützen sich Januar 27, 2025 Netflix erhöht Preise erneut: Ist Inflation das Problem, oder sinkt auch die... Januar 22, 2025 Bambu Lab sorgt für Aufregung mit neuem „Kontrollsystem“ für 3D-Drucker Januar 22, 2025 Hinterlasse einen Kommentar Cancel Reply Save my name, email, and website in this browser for the next time I comment.
