IP-Adressen für über 49.000 gegen Exploits anfälligen Fortinet SSL-VPNs veröffentlicht

[English]Sicherheitsforscher sind auf eine Liste mit IP-Adressen gestoßen, die ein Hacker veröffentlichte, um VPN-Zugangsdaten von über 49.000 Fortinet-VPN-Geräten zu stehlen. Die Zugänge sind über eine längst geschlossene Schwachstelle angreifbar. Auf der Liste der anfälligen Ziele befinden sich Domains von Großbanken und Regierungsorganisationen aus aller Welt.


Anzeige

Die Schwachstelle CVE-2018-13379

Ungepatchte Fortinet-VPN-Geräte sind über eine seit 2018 vorhandene Schwachstelle mit einzeiligen Exploits angreifbar. Die Exploits zielen auf die „Path Traversal“-Schwachstelle CVE-2018-13379, die mit einem NVD-Score von 9.8 (von 10) eingestuft wurde. Die(„Path Traversal“-Schwachstelle tritt durch eine unsachgemäße Beschränkung eines Pfadnamens auf ein Verzeichnis in Fortinet FortiOS 6.0.0 bis 6.0.4, 5.6.3 bis 5.6.7 und 5.4.6 bis 5.4.12 auf. Sie ermöglicht es einem nicht authentifizierten Angreifer, Systemdateien über speziell gestaltete HTTP-Ressourcenanfragen über das SSL-VPN-Webportal herunterzuladen.

PacketStorm-Security hat hier was dazu geschrieben. Anfang Mai 2019 hat Fortinet dieses PSIRT Advisory dazu veröffentlicht und Updates für die betroffenen FortOS-Versionen freigegeben. Heise hat Ende Mai 2019 hier über dieses Thema berichtet. Die Schwachstelle könnte also längst gepatcht sein. Im Februar 2020 habe ich aber im Blog-Beitrag Sicherheitssplitter (21. Feb. 2020) berichtet, dass iranische Hacker Hintertüren in VPN-Servern hinterlassen. Dazu werden diverse Schwachstellen ausgenutzt, unter anderem auch Fortinet (CVE-2018-13379).

Hacker postet IP-Liste der VPNs

Obwohl die Schwachstelle längst gepatcht sein könnte, scheinen zahlreiche Fortinet VPN-Zugänge nach wie vor mit angreifbaren FortiOS-Versionen betrieben zu werden. Bleeping Computer ist nachfolgender Tweet eines Sicherheitsexperten mit dem Alias Bank_Security aufgefallen.

Warning: Exploit for Fortinet VPNs
Warningung vor Exploit für Fortinet VPNs

Der Hacker mit dem Namen pumpedkicks hat eine Liste mit den IP-Adressen von 48.577 über die Schwachstelle CVE-2018-13379 angreifbaren Fortinet SSL VPN-Zugängen veröffentlicht. Er hat dann die Liste dieser IP-Adressen untersucht und festgestellt, dass weltweit SSL VPN-Zugänge von Regierungsbereichen aus der ganzen Welt zu den gefährdeten Zielen gehören. Aber es sind auch bekannter Banken und Finanzunternehmen darunter, die ihre Fortinet SSL VPN-Zugänge nicht gepatcht haben.

Vulnerable Fortinet SSL VPNs
Angreifbare VPNs

Der Analyst sagte BleepingComputer, dazu:

„Dies ist eine alte, gut bekannte und leicht ausnutzbare Schwachstelle. Angreifer nutzen sie bereits seit langer Zeit. Leider patchen Unternehmen nur sehr zöglich oder langsamen haben keinen Überblick über die Schwachstellen in ihrer Infrastruktur. Sie sind sich über den Umfang der Gefährdung im Internet nicht im Klaren. Aus diesem Grund sind Angreifer in der Lage, diese Schwachstellen auszunutzen, um Unternehmen in allen Sektoren mit relativer Einfachheit zu kompromittieren“.

Wie BleepingComputer im vergangenen Monat berichtete, wurde dieselbe Schwachstelle von den Angreifern ausgenutzt, um in die Wahlhilfesysteme der US-Regierung einzubrechen. Sind die Fortinet SSL VPN-Zugänge bei euch bezüglich dieser Schwachstelle gepatcht?


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu IP-Adressen für über 49.000 gegen Exploits anfälligen Fortinet SSL-VPNs veröffentlicht

  1. Bernard sagt:

    Off-topic: Vodafone-Netz zusammengebrochen

    Über 100.000 Meldungen bei AlleStörungen!

    https://www.heise.de/news/Vodafone-Massive-Stoerung-im-Mobilfunknetz-4968505.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.