[English]Gerade ist eine Spionageaktion der chinesischen Regierung in einem Computernetzwerk des niederländischen Militärs aufgeflogen. Das Militärnetzwerk wurde über eine Schwachstelle in FortiGate gehackt. Das ist auch für andere Fortinet-Kunden relevant. Und mittlerweile wurde bekannt, dass das mutmaßlich von staatsnahen chinesischen Hackern betriebene und vom FBI kürzlich abgeschaltete Volt Typhoon-Botnet wohl schon seit fünf Jahren bestand. Die US-Sicherheitsbehörde CISA hat zum 7. Feb. 2024 weitere Details veröffentlicht.
Anzeige
Niederlande: Militärnetzwerk über FortiGate gehackt
Ein Computernetzwerk der niederländischen Streitkräfte war das Ziel mutmaßlich staatlicher Hacker aus China, wie aus nachfolgendem Tweet hervorgeht. Es handelt sich laut niederländischem Militärische Nachrichten- und Sicherheitsdienst (MIVD) allerdings um ein Computernetzwerk, welches für nicht klassifizierte Forschung und Entwicklung (F&E) verwendet wurde.
Laut diesem Artikel von The Hackers News fand der Angriff 2023 statt, wobei die Angreifer eine bekannte kritische Sicherheitslücke in FortiOS SSL-VPN (CVE-2022-42475, CVSS-Score: 9.3) nutzte, die es einem nicht authentifizierten Angreifer ermöglicht, über speziell gestaltete Anfragen beliebigen Code auszuführen.
Warum das für alle Fortinet-Kunden relevant ist
Blog-Leser Bolko hatte im Diskussionsbereich bereits zum 6. Februar 2024 auf den Sachverhalt hingewiesen (danke dafür). Er schrieb, dass China mit einer neuen "stealthy" Remote Access Trojaner (RAT)-Malware namens "COATHANGER" in den Niederlanden spioniert und zitiert ebenfalls den niederländischen Militärnachrichtendienst.
Anzeige
Angriffsvektor ist die Sicherheitslücke CVE-2022-42475 in der Software "FortiGate" der Firma Fortinet, die leider immer noch nicht auf vielen Systemen gepatcht ist (oder das Patchen erfolgte zu spät, weil die Malware schon im System injiziert wurde). Es wird daher vor der neuen, schwer zu entdeckenden Malware, die immun gegen das nachträgliche Patchen ist, gewarnt.
Die erfolgreiche Ausnutzung der Schwachstelle ebnete in obigem Fall den Weg für die Bereitstellung einer Backdoor namens COATHANGER von einem von einem Akteur kontrollierten Server aus, die einen dauerhaften Fernzugriff auf die kompromittierten Geräte ermöglicht. Zur Schwachstelle CVE-2022-42475 hatte ich einige Beiträge im Blog, u.a. FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt (siehe links am Artikelende).
China nutzt diese Art von Malware allgemein zum Ausspionieren von Computernetzwerken und greift die Systemen, auf denen FortiGate der Firma Fortinet installiert ist, an. Die FortiGate-Software ermöglicht das Remote-Arbeitern von Computernutzern in den Netzwerken. Fortinet bietet diese Software weltweit an. Zum 6.2.2024 wurde ein Bericht von dem niederländischen "Nationalen Zentrum für Cybersicherheit" dazu mit folgenden Aussagen veröffentlicht:
- die Malware operiert außerhalb der Sichtweite herkömmlicher Erkennungsmaßnahmen
- die Malware verschafft sich nicht nur den Zugang zum Computernetzwerk, sondern richtet sich pertinent ein
Der letztgenannte Punkt ist relevant, da die Malware ein Patchen übersteht und den Angreifern den Zugang offen hält. Ein Bericht über die COATHANGER-Malware mit vielen Details auf englisch als PDF abrufbar. In diesem Advisory wird das Risiko als ""High" angegeben. Die Malware kann Virenscanner aktiv beeinflussen und falls sie entdeckt worden ist, das Scan-Ergebnis aus den Logs des Scanners löschen. Laut diesem Reuters-Artikel wurde die Malware auch in einigen anderen Systemen gefunden, nicht nur in den Niederlanden. Auf Github gibt es den COATHANGER FortiGate IOC Checker zum Überprüfen von Systemen (danke an Bolko für den Link).
CISA: Volt Typhoon-Botnet seit 5 Jahren aktiv
Die US-Regierung hatte Anfange Februar 2024 bekannt gegeben, dass das Spionage-Netzwerk von Volt Typhoon durch Remote-Befehle abgeschaltet wurde. Dieses, China zugeschriebene, Netzwerk infiltriert Router und zielt darauf ab, kritische Infrastruktur im Fall der Fälle abschalten zu können. Dass Volt Typhoon-Botnetz habe hunderte von Routern infiziert und gekapert, geben US-Stellen an. Dann sei das Botnetz dazu benutzt worden, heimlich kritische Infrastrukturnetze der USA und seiner Verbündeten anzugreifen. Die bisher entdeckten Aktivitäten des Botnetzwerks, die China zugeschrieben werden, seien "wahrscheinlich nur die Spitze des Eisbergs", hieß es. Ich hatte das im Beitrag Volt Typhoon-Botnet durch USA (FBI & Co.) abgeschaltet aufgegriffen.
Die Kollegen von Bleeping Computer berichten nun in diesem Artikel, dass das Volt Typhoon-Botnet seit 5 Jahren aktiv war und beziehen sich auf diese Veröffentlichung der CISA vom 7. Februar 2024. Ich bin die Nacht durch eine Mail mit dem Angebot zu einem Telefonat mit dem Executive Director der US National Cybersecurity Alliance auf das Thema hingewiesen worden. Das CISA-Dokument ist insofern interessant, als es technische Details und Anweisungen enthält, was man tun sollte. Ergänzung: Spiegel Online hat einen etwas ausführlicheren Artikel dazu veröffentlicht.
Ähnliche Artikel
FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt
69 % der FortiGate Firewalls durch kritische, ungepatchte RCE-Schwachstelle CVE-2023-27997 angreifbar
Fortinet behebt kritische RCE-Schwachstellen in FortiNAC und FortiWeb
Volt Typhoon-Botnet durch USA (FBI & Co.) abgeschaltet
Anzeige
Das mit Fortinet entwickelt sich immer mehr zum FortiGate-Gate. Zwar sind letztlich die Betreiber solcher Firewalls schuld, wenn sie exietierende Updates zu spät einspielen, oder garnicht, aber irgendwie fällt es doch auf den Hersteller zurück.
es wirkt jedenfalls so, dass die Rate an kritischen und schweren Sicherheitslücken weit höher ist als bei anderen Anbietern.
Fortinet dominiert vor Allem über den Preis, da die HW sich nicht sonderlich vom Wettbewerb unterscheidet, muss der günstige Preis wohl über die Software hereingeholt werden.
die Anzahl der Lücken wird nicht höher, wenn mehrfach über alte CVEs berichtet wird. mit dem Ssl-Vpn hat fortinet sicherlich einen ordentlich Bock geschossen, aber im Vergleich zu Cisco und juniper etc. tut sich das meines Erachtens nichts.
also wenn man das mit einer Palo od. Checkpoint vergleicht sieht die Lage halt dennoch nicht so gut aus bei Forti.
Zumindest Juniper spielt eigentlich im Firewall Bereich keine Rolle, Cisco ist natürlich eine andere Hausnummer, die verfolge ich aber zu wenig.
Ergänzung: Spielt _mittlerweile_, auch nach der Übernahme durch HPE, keine Rolle mehr. IN den 2000ern waren sie zwischendurch mal der No.1-Contender.
wenn man keine Ahnung hat….
die Fortigates sind preislich attraktiv wegen den extra dafür entwickelten CPUS (ASIC genannt). deshalb kommt man durch die effiziennte abstimmung auf extreme performance für einen kleinen Preis.
was man in diesem Artikel auch nicht sieht, sind die erlichen Sicherheitslücken intern bei den anderen Systemen, wo sich Volt Typhiloon einhacken konnte. Sprich Windows und andere Applikationen. trotzdem gabs bei Fortinet in letzter Zeit viele Breaches…. liegt wohl auch daran, dass Fortigate der Stückzahl weltweit am meisten im Einsatz hat.
das machen die anderen großen Hersteller auch, das ist jetzt kein großes Geschäftsgeheimnis, dass man dafür hoch spezialisierte ASIC / FPGAs einsetzt. So besonders ist das in der Branche auch nicht oder wo soll da jetzt im Kern der Unterschied zu einer Forti liegen?
ist ja wie mit teurem Olivenöl: kostet eine Menge Geld und landet bei Tests oft auf dem letzten Platz, weil geschmacklich ranzig und mit Schadstoffen belastet
– Die Malware verbiegt Betriebssystemfunktionen auf eigene Routinen, die das Ergebnis verfälschen bzw löschen. Daher "stealthy", kaum zu entdecken.
Deswegen sollte man das System offline überprüfen und nicht im laufenden Betrieb.
– Dieser IOC-Checker auf Github ist nur als Zusatzmaßnahme gedacht und alleine nicht ausreichend.
Die eigentlichen Gegenmaßnahmen stehen in dem PDF ab Punkt 4 auf Seite 5ff.
– Bei Infektion funktioniert nur das komplette wipen (löschen) der Datenträger.
– Die Sicherheitslücke CVE-2022-42475 ist nicht unbedingt notwendig, sondern eben nur eines der Einfallstore. Die Malware selber funktioniert unabhängig davon.
Wenn eine andere Sicherheitslücke den Erstzugang verschafft, ist das Ergebnis das selbe.
Alles was am (Inter-)Netz hängt, ist auf aktuellem Stand zu halten, ansonsten hängt es eben nicht am Netz, und wenn doch, dann in einem bspw. für die Fertigung getrennten Netz, in dem auch nur die Dienste zugelassen sind, die die Maschinen brauchen.
Alles andere ist ein unverantwortlicher Offenbarungseid.
Zumindest die FortiGate-CVE ist auf 12.12.2022 datiert, selbst wenn man schon in den Weihnachtsferien war, spätestens am 3.1.2023 wurde es medial breitgetreten und eine fehlende Vertretung zeigt nur erhebliches Missmanagement in den entsprechenden Zitronenfalteretagen auf.
Herrlich wie die Chinesen und Russen die westliche Bullshit-Security-Industrie regelmäßig vorführen – inkl M$. Wer zu blöde ist, wenigstens den VPN Zugang sicher zu programmieren, sollte Gummistiefel herstellen aber keine Firewalls.
Das hat NOKIA gemacht, und wo sind sie heute? *Schenkelklopf*
Ich habe seit heute automatische Firmware Updates in der fortigate aktiviert.
Hier steht wies geht:
https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/369092/enabling-automatic-firmware-update
Warum das nicht per default aktiv ist und warum man dafür einen CLI Befehl braucht, versteh ich nicht.
Klar, früher wollte man vielleicht lieber Kontrolle über die Updates haben, aber bei der heutigen Lage frage ich mich schon, ob man nicht lieber mögliche funktionelle Einchränkungen durch eventuelle neue Bugs in neuen Versionen in Kauf nimmt, als längere Zeit eine Sicherheitlücke offen zu lassen, weil man den Patch übersieht oder es zu spät mitbekomt…
Vorallem wenn man jetzt von KMU mit begrenzten Ressourcen ausgeht…
Wie seht ihr das?