{"id":237963,"date":"2020-11-23T08:00:48","date_gmt":"2020-11-23T07:00:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237963"},"modified":"2021-05-19T23:02:15","modified_gmt":"2021-05-19T21:02:15","slug":"exploits-fr-ber-49-000-anfllige-fortinet-ssl-vpns-verffentlicht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/23\/exploits-fr-ber-49-000-anfllige-fortinet-ssl-vpns-verffentlicht\/","title":{"rendered":"IP-Adressen für über 49.000 gegen Exploits anfälligen Fortinet SSL-VPNs veröffentlicht"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher sind auf eine Liste mit IP-Adressen gesto\u00dfen, die ein Hacker ver\u00f6ffentlichte, um VPN-Zugangsdaten von \u00fcber 49.000 Fortinet-VPN-Ger\u00e4ten zu stehlen. Die Zug\u00e4nge sind \u00fcber eine l\u00e4ngst geschlossene Schwachstelle angreifbar. Auf der Liste der anf\u00e4lligen Ziele befinden sich Domains von Gro\u00dfbanken und Regierungsorganisationen aus aller Welt.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2018-13379<\/h2>\n

\"\"Ungepatchte Fortinet-VPN-Ger\u00e4te sind \u00fcber eine seit 2018 vorhandene Schwachstelle mit einzeiligen Exploits angreifbar. Die Exploits zielen auf die \"Path Traversal\"-Schwachstelle CVE-2018-13379, die mit einem NVD-Score von 9.8 (von 10) eingestuft wurde. Die(\"Path Traversal\"-Schwachstelle tritt durch eine unsachgem\u00e4\u00dfe Beschr\u00e4nkung eines Pfadnamens auf ein Verzeichnis in Fortinet FortiOS 6.0.0 bis 6.0.4, 5.6.3 bis 5.6.7 und 5.4.6 bis 5.4.12 auf. Sie erm\u00f6glicht es einem nicht authentifizierten Angreifer, Systemdateien \u00fcber speziell gestaltete HTTP-Ressourcenanfragen \u00fcber das SSL-VPN-Webportal herunterzuladen.<\/p>\n

PacketStorm-Security hat hier<\/a> was dazu geschrieben. Anfang Mai 2019 hat Fortinet dieses PSIRT Advisory<\/a> dazu ver\u00f6ffentlicht und Updates f\u00fcr die betroffenen FortOS-Versionen freigegeben. Heise hat Ende Mai 2019 hier<\/a> \u00fcber dieses Thema berichtet. Die Schwachstelle k\u00f6nnte also l\u00e4ngst gepatcht sein. Im Februar 2020 habe ich aber im Blog-Beitrag Sicherheitssplitter (21. Feb. 2020)<\/a> berichtet, dass iranische Hacker Hintert\u00fcren in VPN-Servern hinterlassen. Dazu werden diverse Schwachstellen ausgenutzt, unter anderem auch Fortinet (CVE-2018-13379).<\/p>\n

Hacker postet IP-Liste der VPNs<\/h2>\n

Obwohl die Schwachstelle l\u00e4ngst gepatcht sein k\u00f6nnte, scheinen zahlreiche Fortinet VPN-Zug\u00e4nge nach wie vor mit angreifbaren FortiOS-Versionen betrieben zu werden. Bleeping Computer ist nachfolgender Tweet<\/a> eines Sicherheitsexperten mit dem Alias Bank_Security<\/em>\u00a0aufgefallen<\/a>.<\/p>\n

\"Warning:<\/a>
\nWarningung vor Exploit f\u00fcr Fortinet VPNs<\/p>\n

Der Hacker mit dem Namen pumpedkicks<\/em> hat eine Liste mit den IP-Adressen von 48.577 \u00fcber die Schwachstelle CVE-2018-13379 angreifbaren Fortinet SSL VPN-Zug\u00e4ngen ver\u00f6ffentlicht. Er hat dann die Liste dieser IP-Adressen untersucht und festgestellt, dass weltweit SSL VPN-Zug\u00e4nge von Regierungsbereichen aus der ganzen Welt zu den gef\u00e4hrdeten Zielen geh\u00f6ren. Aber es sind auch bekannter Banken und Finanzunternehmen darunter, die ihre Fortinet SSL VPN-Zug\u00e4nge nicht gepatcht haben.<\/p>\n

\"Vulnerable
\nAngreifbare VPNs<\/p>\n

Der Analyst sagte BleepingComputer, dazu:<\/p>\n

\"Dies ist eine alte, gut bekannte und leicht ausnutzbare Schwachstelle. Angreifer nutzen sie bereits seit langer Zeit. Leider patchen Unternehmen nur sehr z\u00f6glich oder langsamen haben keinen \u00dcberblick \u00fcber die Schwachstellen in ihrer Infrastruktur. Sie sind sich \u00fcber den Umfang der Gef\u00e4hrdung im Internet nicht im Klaren. Aus diesem Grund sind Angreifer in der Lage, diese Schwachstellen auszunutzen, um Unternehmen in allen Sektoren mit relativer Einfachheit zu kompromittieren\".<\/p><\/blockquote>\n

Wie BleepingComputer im vergangenen Monat berichtete<\/a>, wurde dieselbe Schwachstelle von den Angreifern ausgenutzt, um in die Wahlhilfesysteme der US-Regierung einzubrechen. Sind die Fortinet SSL VPN-Zug\u00e4nge bei euch bez\u00fcglich dieser Schwachstelle gepatcht?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher sind auf eine Liste mit IP-Adressen gesto\u00dfen, die ein Hacker ver\u00f6ffentlichte, um VPN-Zugangsdaten von \u00fcber 49.000 Fortinet-VPN-Ger\u00e4ten zu stehlen. Die Zug\u00e4nge sind \u00fcber eine l\u00e4ngst geschlossene Schwachstelle angreifbar. Auf der Liste der anf\u00e4lligen Ziele befinden sich Domains von Gro\u00dfbanken … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237963","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237963"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237963\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}