[English]Noch eine kurze Information für Administratoren von FortiGate-Installationen, die schon einige Tage bei mir dümpelt. Unbekannte haben eine Sammlung von 87.000 FortiGate SSL-VPN Zugangsdaten erstellt, die sie nun gezielt für Angriffe auf entsprechende Installationen verwenden. CERT-Bund hat gerade eine entsprechende Warnung herausgegeben, Administratoren müssen handeln.
Anzeige
Warnung des CERT-Bund
Die Warnung des CERT-Bund auf Twitter ist sehr klar: Unternehmen, die FortiGate SSL-VPN-Zugänge nutzen und zu irgendeinem Zeitpunkt eine der aufgeführten betroffenen Versionen (niedriger als: FortiOS 5.4.13, 5.6.14, 6.0.11 , 6.2.8) verwendeten, müssen nach dem Upgrade auch die Benutzerkennwörter aktualisieren.
Der Hintergrund ist, dass man davon ausgehen kann, dass vor dem Schließen von Sicherheitslücken die Zugangsdaten im Klartext abgezogen wurden. Dies ermöglicht es Angreifern, über die alten Anmeldedaten auf SSL-VPN-Zugänge gepatchter FortiGate-Produkte zuzugreifen.
Sicherheitswarnung von FortiGate
FortiGate hat zum 8. September 2021 die Sicherheitswarnung Malicious Actor Discloses FortiGate SSL-VPN Credentials dazu veröffentlicht. Fortinet ist darauf aufmerksam geworden, dass ein böswilliger Akteur vor kurzem SSL-VPN-Zugangsinformationen zu 87.000 FortiGate SSL-VPN-Geräten offengelegt hat. Ich hatte bei den Kollegen von Bleeping Computer die Information gesehen, dass Daten von 500.000 VPN-Zugängen veröffentlicht worden seien. Die Daten wurden von einer Person mit dem Alias Orange veröffentlicht. Dieser ist Administrator des neu eingerichteten RAMP-Hacking-Forums und steckte früherer als Betreiber hinter den Babuk-Ransomware-Operationen.
Diese Zugangsdaten stehen im Zusammenhang mit einer Sicherheitslücke (CVE-2018-13379), die im Mai 2019 durch ein Update behoben wurde. Es sieht wohl so aus, dass Cyber-Kriminelle zu diesem Zeitpunkt ungepatchte FortiGate SSL-VPN-Zugänge gescannt und dabei deren Zugangsdaten im Klartext abgezogen haben. Fortinet schreibt dazu, dass die Zugangsdaten von Systemen abgezogen wurden, die zum Zeitpunkt des Scans des Täters noch nicht gegen FG-IR-18-384 / CVE-2018-13379 gepatcht waren.
Das Problem: Selbst wenn die Systeme gepatcht wurden, sind sie weiterhin anfällig, sofern die Passwörter für die SSL-VPN-Zugänge nicht zurückgesetzt wurden. Genau dieser Ansatz wird bei der aktuellen Angriffswelle genutzt, um das Internet nach FortiGate SSL-VPN-Zugängen zu scannen und dann die Sammlung an Zugangsdaten bei einem Angriff auszuprobieren. Dabei können die Instanzen über ihre IPs, die wohl auch in der Datensammlung stecken, gezielt durchprobiert werden. Schaue ich mir diese Grafik an, sind auch deutsche FortiGate-Instanzen dabei. Die FortiGate-Sicherheitswarnung Malicious Actor Discloses FortiGate SSL-VPN Credentials enthält konkrete Hinweise wie vorzugehen ist.
2015
Eine Liste der betroffenen IP Adressen ist hier zu finden:
https://gist.github.com/crypto-cypher/f216d6fa4816ffa93c5270b001dc4bdc
Hallo Günther,
du schreibst "Die Warnung des CERT-Bund auf Twitter ist sehr klar: Unternehmen, die FortiGate SSL-VPN-Zugänge nutzen und zu irgendeinem Zeitpunkt eine der aufgeführten betroffenen Versionen (FortiOS 5.4.13, 5.6.14, 6.0.11, or 6.2.8) verwendeten, müssen nach dem Upgrade auch die Benutzerkennwörter aktualisieren."
Die in Klammer aufgeführten Versionen sind nicht die betroffenen Versionen sondern die jeweils NICHT mehr betroffenen.