{"id":238144,"date":"2020-11-30T00:01:00","date_gmt":"2020-11-29T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238144"},"modified":"2021-05-19T23:02:19","modified_gmt":"2021-05-19T21:02:19","slug":"us-cert-warnung-fortinet-ssl-vpns-absichern-passwrter-ndern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/30\/us-cert-warnung-fortinet-ssl-vpns-absichern-passwrter-ndern\/","title":{"rendered":"US-CERT-Warnung: Fortinet SSL-VPNs absichern, Passwörter ändern"},"content":{"rendered":"

[English<\/a>]Die Cybersecurity and Infrastructure Security Agency (CISA) schl\u00e4gt wegen einer Fortinet FortiOS-Schwachstelle Alarm. Die Fortinet-Produkte mit ungepatchten Fortinet FortiOS werden gezielt angegriffen. Und im Darknet kursiert eine Liste mit Zugangsdaten f\u00fcr solche Systeme. Obwohl es seit Mai 2019 Patches for FortOS gibt, habe ich auch in Deutschland angreifbare Ger\u00e4te in einer geleakten IP-Liste gefunden.<\/p>\n

<\/p>\n

Die US-CERT-Warnung<\/h2>\n

\"\"Mir ist die Warnung des US-CERT die Tage auf Twitter<\/a> unter die Augen gekommen. Der Hinweis erfolgte wohl auch im Hinblick auf das lange Wochenende (Thanksgiving) in den USA.<\/p>\n

\"US-CERT-Warnung\"<\/a><\/p>\n

Das US-CERT fordert die Leute auf, sofort die Fortinet-Produkte zu aktualisieren, um eine kritische Sicherheitsl\u00fccke zu schlie\u00dfen. Hier der betreffende Text.<\/p>\n

Fortinet FortiOS System File Leak<\/p>\n

The Cybersecurity and Infrastructure Security Agency (CISA) is aware of the possible exposure of passwords on Fortinet devices that are vulnerable to CVE 2018-13379. Exploitation of this vulnerability may allow an unauthenticated attacker to access FortiOS system files. Potentially affected devices may be located in the United States.<\/p><\/blockquote>\n

Die CISA (Cybersecurity and Infrastructure Security Agency) hat Kenntnis von einer m\u00f6glichen Offenlegung von Passw\u00f6rtern auf Fortinet-Ger\u00e4ten, die anf\u00e4llig f\u00fcr die Schwachstelle CVE 2018-13379 sind. Die Ausnutzung dieser Schwachstelle kann es einem nicht authentifizierten Angreifer erm\u00f6glichen, auf FortiOS-Systemdateien zuzugreifen. Potenziell betroffene Ger\u00e4te sind weltweit per Internet erreichbar.<\/p>\n

Das US-CERT fordert die Nutzer auf, die Fortinet-Ger\u00e4te umgehend zu aktualisieren, denn es stehen seit langer Zeit Updates zur Verf\u00fcgung (siehe folgender Text). Die Beh\u00f6rde verlinkt auf ein Security Advisory von Fortinet – als ich den Blog-Beitrag geschrieben habe, war der Server aber down. Ich habe die erforderlichen Informationen zur Schwachstelle CVE-2018-13379 weiter unten herausgezogen.<\/p>\n

Hacker verkaufen Zugangsdaten<\/h2>\n

Die Umschreibung 'Kenntnis von einer m\u00f6glichen Offenlegung von Passw\u00f6rtern auf Fortinet-Ger\u00e4ten' geht auf den Umstand zur\u00fcck, dass Hacker im Internet nicht nur IP-Listen von angreifbaren Systemen<\/a> ver\u00f6ffentlicht haben (siehe mein Blog-Beitrag IP-Adressen f\u00fcr \u00fcber 49.000 gegen Exploits anf\u00e4lligen Fortinet SSL-VPNs ver\u00f6ffentlicht<\/a>). Ich habe die IPs der Liste<\/a> stichprobenartig \u00fcberpr\u00fcft und bin auf Ger\u00e4te in Belgien, Frankreich, Schweden, T\u00fcrkei und viele in den USA, aber auch Standorte in Deutschland gesto\u00dfen. Wer Fortinet-Ger\u00e4te im Einsatz hat, kann ja schauen, ob deren IP-Adressen in der betreffenden Datei auftauchen.<\/p>\n

Aber das ist noch nicht alles, denn kurz nach dem Leak mit der Liste der IP-Adressen tauchte eine Liste mit Zugangsdaten (Benutzernamen, Passw\u00f6rter, unmaskierte IP-Adressen) in einem Untergrundforum auf.<\/p>\n

\"<\/a><\/p>\n

Die Kollegen von Bleeping Computer hatten das vorige Woche in einem Beitrag<\/a> offen gelegt und weisen in obigem Tweet<\/a> darauf hin. Das Patchen der Fortinet-Ger\u00e4te reicht also nicht mehr. Im Anschluss sollten die Zugangsdaten ge\u00e4ndert werden. Administratoren sollten zudem pr\u00fcfen, ob die Ger\u00e4te vielleicht bereits mit einer Backdoor versehen sind. Darauf weist Bad Packets in nachfolgendem Tweet<\/a> hin.<\/p>\n

\"CVE-2018-13379<\/p>\n

Die Schwachstelle CVE-2018-13379<\/h2>\n

Ungepatchte Fortinet-VPN-Ger\u00e4te sind \u00fcber eine seit 2018 vorhandene Schwachstelle mit einzeiligen Exploits angreifbar. Die Exploits zielen auf die \"Path Traversal\"-Schwachstelle CVE-2018-13379, die mit einem NVD-Score von 9.8 (von 10) eingestuft wurde. Die(\"Path Traversal\"-Schwachstelle tritt durch eine unsachgem\u00e4\u00dfe Beschr\u00e4nkung eines Pfadnamens auf ein Verzeichnis in Fortinet FortiOS 6.0.0 bis 6.0.4, 5.6.3 bis 5.6.7 und 5.4.6 bis 5.4.12 auf. Sie erm\u00f6glicht es einem nicht authentifizierten Angreifer, Systemdateien \u00fcber speziell gestaltete HTTP-Ressourcenanfragen \u00fcber das SSL-VPN-Webportal herunterzuladen.<\/p>\n

PacketStorm-Security hat hier<\/a> was dazu geschrieben. Anfang Mai 2019 hat Fortinet ein PSIRT Advisory<\/a> (aktuell ist der Server down) ver\u00f6ffentlicht und Updates f\u00fcr die betroffenen FortOS-Versionen freigegeben. Heise hat Ende Mai 2019 hier<\/a> \u00fcber dieses Thema berichtet. Die Schwachstelle k\u00f6nnte also l\u00e4ngst gepatcht sein. Im Februar 2020 habe ich aber im Blog-Beitrag Sicherheitssplitter (21. Feb. 2020)<\/a> berichtet, dass iranische Hacker Hintert\u00fcren in VPN-Servern hinterlassen. Dazu werden diverse Schwachstellen ausgenutzt, unter anderem auch Fortinet (CVE-2018-13379).<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Cybersecurity and Infrastructure Security Agency (CISA) schl\u00e4gt wegen einer Fortinet FortiOS-Schwachstelle Alarm. Die Fortinet-Produkte mit ungepatchten Fortinet FortiOS werden gezielt angegriffen. Und im Darknet kursiert eine Liste mit Zugangsdaten f\u00fcr solche Systeme. Obwohl es seit Mai 2019 Patches for … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238144","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238144"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238144\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}