Ungepatchte Systeme stellen eine größere Gefahr für Hackerangriffe als 0-Day-Schwachstellen dar – meistens jedenfalls (der Hafnium-Exchange-Vorfall war eine der Ausnahmen). Das bestätigt sich erneut bei einem gerade bekannt gewordenen Fall, wo das FBI eine Warnung herausgegeben hat. APT-Hacker sind über Fortinet-Bugs (teilweise seit Mai 2019 bekannt) in Behördensysteme eingedrungen.
Anzeige
Laut dieser FBI-Mitteilung (PDF) wird davor gewarnt, dass Advanced Persistent Threat (APT) Akteure, Schwachstellen in Fortinet ausnutzen, um in IT-Systeme einzudringen. In nachfolgendem Tweet heißt es, dass solche Angriffe auf US-Regierungseinrichtungen erfolgt sind.
Mindestens seit Mai 2021 hat eine APT-Akteursgruppe mit ziemlicher Sicherheit eine Fortigate-Appliance ausgenutzt, um
auf einen Webserver zuzugreifen, der die Domain für eine US-Stadtverwaltung hostet. Die APT-Akteure erstellten, laut FBI-Meldung, wahrscheinlich ein Konto mit dem Benutzernamen "elie", um weitere bösartige Aktivitäten im Netzwerk zu ermöglichen.
Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) hatten bereits im April 2021 davor gewarnt, dass APT-Akteure
Zugriff auf Geräte an den Ports 4443, 8443 und 10443 für Fortinet FortiOS CVE-2018-13379 (seit Mai 2019 bekannt), und für bestimmte Geräte für FortiOS CVE-2020-12812 und FortiOS CVE-2019-5591 erlangen könnten. Der von den APT-Akteuren erlangte Zugriff kann zum Abziehen von Daten, zur Verschlüsselung von Dateien und anderen bösartigen Aktivitäten genutzt werden. Die beobachteten APT-Akteure zielen aktiv auf ein breites Spektrum von Opfern in verschiedenen Sektoren, was darauf hindeutet, dass sich die Aktivitäten auf die Ausnutzung von Schwachstellen und nicht auf bestimmte Sektoren abzielen, meint das FBI.
Anzeige
Vom Sicherheitsunternehmen Tenable habe ich gestern noch eine Stellungnahme erhalten, nachdem kriminelle Hacker mehrere Schwachstellen in Fortinets FortiGate SSL VPN gegen eine Stadtverwaltung ausgenutzt haben. Satnam Narang, Staff Research Engineer bei Tenable schreibt dazu:
Das FBI hat seine zweite Warnung bezüglich mehrerer Schwachstellen in Fortinets FortiGate SSL VPN herausgegeben, die in der Praxis bereits ausgenutzt werden; die erste wurde vor über einem Monat veröffentlicht. Allerdings haben mehrere US-Regierungsbehörden, darunter das FBI, die NSA und die CISA, in den letzten Jahren mehrere Warnungen veröffentlicht, die die Ausnutzung von CVE-2018-13379, einer kritischen Schwachstelle im SSL-VPN, durch Advanced Persistent Threat-Gruppen hervorheben, die vor zwei Jahren gepatcht wurde.
Die Tatsache, dass diese alten Schwachstellen trotz dieser Warnungen weiterhin ausgenutzt werden, ist ein warnendes Beispiel dafür, dass ungepatchte Schwachstellen nach wie vor ein wertvolles Werkzeug für APT-Gruppen und Cyberkriminelle im Allgemeinen sind. Das Risiko wird durch die großangelegte Verlagerung der Belegschaft im letzten Jahr noch erhöht. Ungepatchte Schwachstellen, nicht Zero-Days, stellen heute die größte Bedrohung für die meisten Unternehmen dar, da Angreifer auf diese Weise am schnellsten und billigsten an ihr Ziel gelangen. Es ist zwingend erforderlich, dass sowohl öffentliche Einrichtungen als auch private Unternehmen, die FortiGate SSL VPN einsetzen, diese Patches sofort anwenden, um zukünftige Kompromittierungen zu verhindern.
Dem ist nicht viel hinzuzufügen. Das oben verlinkte FBI-Dokument enthält noch einige zusätzliche Details zu den Schwachstellen.
Anzeige
