Noch eine Kurzmeldung zu FortiGate: Im Februar 2024 hatte ich bereits im Beitrag Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen über eine Warnung des niederländischen CERT berichtet, die auf 14.000 gehackte FortiGate-Systeme hingewiesen haben. Nun hat das niederländische Cyber Security Centrum kürzlich seine Warnung aktualisiert und weist darauf hin, dass chinesische Hacker inzwischen 20.000 FortiGate-Systeme weltweit über die COATHANGER-Malware infiltriert haben.
Anzeige
Anfang Februar 2024 veröffentlichte das NCSC zusammen mit dem Militärischen Nachrichten- und Sicherheitsdienst (MIVD) und dem Allgemeinen Nachrichten- und Sicherheitsdienst (AIVD) einen Bericht über die ausgeklügelte COATHANGER-Malware, die auf FortiGate-Systeme abzielt.
Im Beitrag hier schreibt das niederländische Cyber Security Centrum (NCSC), dass man seit der Veröffentlichung der Warnung im Februar 2024 die breiter angelegte chinesische Cyberspionagekampagne weiter vom MIVD untersucht habe. Dabei habe sich herausgestellt, dass sich der staatliche Akteur in den Jahren 2022 und 2023 innerhalb weniger Monate über die Schwachstelle CVE-2022-42475 Zugang zu mindestens 20.000 FortiGate-Systemen weltweit verschaffte.
Darüber hinaus zeigen Untersuchungen, dass der staatliche Akteur, der hinter dieser Kampagne steht, bereits mindestens zwei Monate vor der Offenlegung der Schwachstelle durch Fortinet von dieser Sicherheitslücke in FortiGate-Systemen wusste. Während dieses sogenannten Zero-Day-Zeitraums infizierte der Akteur allein 14.000 Geräte. Zu den Zielen gehörten Dutzende von (westlichen) Regierungen, internationale Organisationen und eine große Anzahl von Unternehmen der Verteidigungsindustrie.
Der staatliche Akteur installierte zu einem späteren Zeitpunkt Schadsoftware auf den gekaperten Systemen. Dadurch erhielt der staatliche Akteur permanenten Zugriff auf die Systeme. Selbst wenn ein Opfer Sicherheitsupdates von FortiGate installiert, behält der staatliche Akteur weiterhin diesen Zugriff.
Anzeige
Es ist nicht bekannt, bei wie vielen Opfern tatsächlich Malware installiert wurde. Die niederländischen Nachrichtendienste und der NCSC halten es für wahrscheinlich, dass der staatliche Akteur seinen Zugang auf Hunderte von Opfern weltweit ausdehnen und zusätzliche Aktionen wie Datendiebstahl durchführen konnte.
Trotz des technischen Berichts über die COATHANGER-Malware ist es schwierig, Infektionen durch Akteure zu erkennen und zu entfernen. Die NCSC und die niederländischen Nachrichtendienste halten es daher für wahrscheinlich, dass der staatliche Akteur noch immer auf die Systeme einer beträchtlichen Anzahl von Opfern zugreift.
Ich habe den Artikel mit der Warnung überflogen, aber keine konkreten Hinweise gefunden, wie man Infektionen erkennt. Der allgemeine Ratschlag war, immer davon auszugehen, dass die FortiGate-Systeme bereits infiziert sind und nach entsprechenden Anzeigen zu suchen. Die Kollegen von Bleeping Computer haben hier einige Erkenntnisse aus der obigen Warnung in Englisch veröffentlicht.
Anzeige
Fortigate Systeme lassen sich wie folgt prüfen:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420
Danke – aber der Artikel ist von: "Created on 12-12-2022 09:08 PM Edited on 12-20-2022 03:09 AM" und wurde z.B. in FortiOS 7.2.3 gefixt. Sollte also Anfang 2024 mit FortiOS 7.2.7(?) kein Thema sein.
Ja, weil sie es können.
Das ist eigentlich das traurige daran das was uns schützen soll das Einfallstor ist.
Wie bei Cisco…
Bei den vielen und regelmäßigen Sicherheitslöchern in Fortinet-Produkten wundere ich mich, dass diese noch nicht überall rausgeflogen sind.
Aus den Kommentaren dort: Das ncsc hat ein PDF zu dem Artikel veröffentlicht incl Script oder den zu Fuss weg über die cmd um seine Systeme abzuklopfen.
https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear/TLP-CLEAR+MIVD+AIVD+Advisory+COATHANGER.pdf
Ich habe meine mal abgeklopft, allerdings waren die Einfallstore ohnehin immer abgeschaltet.
"Denk' ich an Deutschland in der Nacht…"
Fortigate wird nicht nur in Deutschland verwendet. Es muss daher lauten:
"Denk' ich an IT in der Nacht…"
Und ja IT nicht IT-Sicherheit – denn die IT ist nicht nur in Sachen Sicherheit mehr als lausig…
Diese ranzige Devices, die vorgeben Schutz zu bieten, sind das Geld nicht wert. Sie beruhigen kurzzeitig die verantwortlichen, bis es dann doch einschlägt. Doch wer diesen Mist kauft, wird dafür selten belangt. Auffällig ist wie oft im Artikel "staatlicher Akteur" verwendet wird, wohl ganz nach dem Grundsatz, wenn man es oft genug wiederholt, wird schon was hängenbleiben, auch wenn diese Behauptung nur eine Mutmaßung ist. Es gibt meines Wissens nur einen einzigen Fall, in dem es gelungen ist, die Zuordnung sicher herzustellen. Da haben sich die Eindringlinge online beobachten lassen. Natürlich ist es immer der politische Feind, denn Abschnorcheln unter Freunden gibt es per Definition nicht.
und war wäre jetzt deine Alternative zu "Diese ranzige Devices" ?
Fortinet ist ja nur einer der Marktführer…
also die Zuordnungen zu Gewissen Ransomware Gruppen ist sehr wohl möglich. Auch deine eigene Arbeitsweise folgt normalerweise Mustern und du hinterlässt MetaDaten…das ist wie ein Fingerabdruck.
Und in China ist VPN streng verboten, ohne kommst du nicht ins worldwideweb, und reguliert für Einheimische ausgenommen sind nur staatsnahe Personen im Auftrag der CCP.
Auch der Umfang eines Hacks (Komplexität, Reichweite, usw.) lassen Schätzungen zu wie viel Ressourcen da hineingeflossen sind, damit ist relativ schnell klar, dass es sich hierbei um eine Organisation handeln muss, die Zugang zu umfangreichen Ressourcen hat (Manpower, Kapital, KnowHow, etc.) und ab einer gewissen Größe bleibt nur der Rückschluss auf staatliche Organisation – solche Hacks haben meist ganz anderes Qualitätsniveau.
Fortiner Produkte haben nicht unbedingt viel mehr Schwachstellen als Geräte von anderen Herstellern. Die Fortinet Produkte sind lediglich weiter verbreitet und daher mehr im Fokus. Daraus resultiert dann, dass mehr Lücken gefunden werden, da eben mehr gesucht wird.
Ähm, sind das nicht Firewalls und sollten per se unhackbar sein? Irgendwie hat der Hersteller das nicht verstanden. Aber ich nehme an, die hat saugeile features und kostet richtig Geld – ROFL.
Per se unhackbar?! Alles ist hackbar! Die IT Schutzmaßnahmen sorgen nur dafür es einem Angreifer schwerer zu machen, damit sich der Aufwand nicht lohnt.
Sie rollen vermutlich auch auf dem Boden wenn sie ein Schiff mit Rettungsbooten sehen.
also da ist eine Sicherheitslücke, die im Dezember 2022 veröffentlicht wurde.
Der Patch von Fortinet wurde in Dezember 2022 veröffentlicht.
Jetzt völlig unabhängig von der sonstigen Qualität von Fortinet Produkten im Vergleich zu anderen Herstellen (und der SSL VPN von Fortinet hat wirklich ständig Sicherheitslücken – auf den würde ich auf jeden Fall verzichten):
Warum hacken hier alle auf Fortinet rum bei einem Problem, das die Kunden verursacht haben: über 2 1/2 Jahren kein Patches einspielen?