FBI-Warnung: APT-Hacker brechen über alten Fortinet-Bug in Behörden-IT ein

Sicherheit (Pexels, allgemeine Nutzung)Ungepatchte Systeme stellen eine größere Gefahr für Hackerangriffe als 0-Day-Schwachstellen dar – meistens jedenfalls (der Hafnium-Exchange-Vorfall war eine der Ausnahmen). Das bestätigt sich erneut bei einem gerade bekannt gewordenen Fall, wo das FBI eine Warnung herausgegeben hat. APT-Hacker sind über Fortinet-Bugs (teilweise seit Mai 2019 bekannt) in Behördensysteme eingedrungen.


Anzeige

Laut dieser FBI-Mitteilung (PDF) wird davor gewarnt, dass Advanced Persistent Threat (APT) Akteure, Schwachstellen in Fortinet ausnutzen, um in IT-Systeme einzudringen. In nachfolgendem Tweet heißt es, dass solche Angriffe auf US-Regierungseinrichtungen erfolgt sind.

Hacker-Angriff

Mindestens seit Mai 2021 hat eine APT-Akteursgruppe mit ziemlicher Sicherheit eine Fortigate-Appliance ausgenutzt, um
auf einen Webserver zuzugreifen, der die Domain für eine US-Stadtverwaltung hostet. Die APT-Akteure erstellten, laut FBI-Meldung, wahrscheinlich ein Konto mit dem Benutzernamen "elie", um weitere bösartige Aktivitäten im Netzwerk zu ermöglichen.

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) hatten bereits im April 2021 davor gewarnt, dass APT-Akteure
Zugriff auf Geräte an den Ports 4443, 8443 und 10443 für Fortinet FortiOS CVE-2018-13379 (seit Mai 2019 bekannt), und für bestimmte Geräte für FortiOS CVE-2020-12812 und FortiOS CVE-2019-5591 erlangen könnten. Der von den APT-Akteuren erlangte Zugriff kann zum Abziehen von Daten, zur Verschlüsselung von Dateien und anderen bösartigen Aktivitäten genutzt werden. Die beobachteten APT-Akteure zielen aktiv auf ein breites Spektrum von Opfern in verschiedenen Sektoren, was darauf hindeutet, dass sich die Aktivitäten auf die Ausnutzung von Schwachstellen und nicht auf bestimmte Sektoren abzielen, meint das FBI.

Vom Sicherheitsunternehmen Tenable habe ich gestern noch eine Stellungnahme erhalten, nachdem kriminelle Hacker mehrere Schwachstellen in Fortinets FortiGate SSL VPN gegen eine Stadtverwaltung ausgenutzt haben. Satnam Narang, Staff Research Engineer bei Tenable schreibt dazu:

Das FBI hat seine zweite Warnung bezüglich mehrerer Schwachstellen in Fortinets FortiGate SSL VPN herausgegeben, die in der Praxis bereits ausgenutzt werden; die erste wurde vor über einem Monat veröffentlicht. Allerdings haben mehrere US-Regierungsbehörden, darunter das FBI, die NSA und die CISA, in den letzten Jahren mehrere Warnungen veröffentlicht, die die Ausnutzung von CVE-2018-13379, einer kritischen Schwachstelle im SSL-VPN, durch Advanced Persistent Threat-Gruppen hervorheben, die vor zwei Jahren gepatcht wurde.

Die Tatsache, dass diese alten Schwachstellen trotz dieser Warnungen weiterhin ausgenutzt werden, ist ein warnendes Beispiel dafür, dass ungepatchte Schwachstellen nach wie vor ein wertvolles Werkzeug für APT-Gruppen und Cyberkriminelle im Allgemeinen sind. Das Risiko wird durch die großangelegte Verlagerung der Belegschaft im letzten Jahr noch erhöht. Ungepatchte Schwachstellen, nicht Zero-Days, stellen heute die größte Bedrohung für die meisten Unternehmen dar, da Angreifer auf diese Weise am schnellsten und billigsten an ihr Ziel gelangen. Es ist zwingend erforderlich, dass sowohl öffentliche Einrichtungen als auch private Unternehmen, die FortiGate SSL VPN einsetzen, diese Patches sofort anwenden, um zukünftige Kompromittierungen zu verhindern.

Dem ist nicht viel hinzuzufügen. Das oben verlinkte FBI-Dokument enthält noch einige zusätzliche Details zu den Schwachstellen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.