{"id":257490,"date":"2021-09-10T08:07:00","date_gmt":"2021-09-10T06:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257490"},"modified":"2021-09-10T15:34:53","modified_gmt":"2021-09-10T13:34:53","slug":"datensammlung-mit-87-000-fortigate-ssl-vpn-zugangsdaten-fr-angriffe-benutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/10\/datensammlung-mit-87-000-fortigate-ssl-vpn-zugangsdaten-fr-angriffe-benutzt\/","title":{"rendered":"Datensammlung mit 87.000 FortiGate SSL-VPN Zugangsdaten für Angriffe benutzt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch eine kurze Information f\u00fcr Administratoren von FortiGate-Installationen, die schon einige Tage bei mir d\u00fcmpelt. Unbekannte haben eine Sammlung von 87.000 FortiGate SSL-VPN Zugangsdaten erstellt, die sie nun gezielt f\u00fcr Angriffe auf entsprechende Installationen verwenden. CERT-Bund hat gerade eine entsprechende Warnung herausgegeben, Administratoren m\u00fcssen handeln.<\/p>\n

<\/p>\n

Warnung des CERT-Bund<\/h2>\n

\"\"Die Warnung des CERT-Bund auf Twitter<\/a> ist sehr klar: Unternehmen, die FortiGate SSL-VPN-Zug\u00e4nge nutzen und zu irgendeinem Zeitpunkt eine der aufgef\u00fchrten betroffenen Versionen (niedriger als: FortiOS 5.4.13, 5.6.14, 6.0.11 , 6.2.8) verwendeten, m\u00fcssen nach dem Upgrade auch die Benutzerkennw\u00f6rter aktualisieren.<\/p>\n

\"CERT-Bund-Warnung<\/a><\/p>\n

Der Hintergrund ist, dass man davon ausgehen kann, dass vor dem Schlie\u00dfen von Sicherheitsl\u00fccken die Zugangsdaten im Klartext abgezogen wurden. Dies erm\u00f6glicht es Angreifern, \u00fcber die alten Anmeldedaten auf SSL-VPN-Zug\u00e4nge gepatchter FortiGate-Produkte zuzugreifen.<\/p>\n

Sicherheitswarnung von FortiGate<\/h2>\n

FortiGate hat zum 8. September 2021 die Sicherheitswarnung Malicious Actor Discloses FortiGate SSL-VPN Credentials<\/a> dazu ver\u00f6ffentlicht. Fortinet ist darauf aufmerksam geworden, dass ein b\u00f6swilliger Akteur vor kurzem SSL-VPN-Zugangsinformationen zu 87.000 FortiGate SSL-VPN-Ger\u00e4ten offengelegt hat. Ich hatte bei den Kollegen von Bleeping Computer die Information<\/a> gesehen, dass Daten von 500.000 VPN-Zug\u00e4ngen ver\u00f6ffentlicht worden seien. Die Daten wurden von einer Person mit dem Alias Orange ver\u00f6ffentlicht. Dieser ist Administrator des neu eingerichteten RAMP-Hacking-Forums und steckte fr\u00fcherer als Betreiber hinter den Babuk-Ransomware-Operationen.<\/p>\n

Diese Zugangsdaten stehen im Zusammenhang mit einer Sicherheitsl\u00fccke (CVE-2018-13379), die im Mai 2019 durch ein Update behoben wurde. Es sieht wohl so aus, dass Cyber-Kriminelle zu diesem Zeitpunkt ungepatchte FortiGate SSL-VPN-Zug\u00e4nge gescannt und dabei deren Zugangsdaten im Klartext abgezogen haben. Fortinet schreibt dazu, dass die Zugangsdaten von Systemen abgezogen wurden, die zum Zeitpunkt des Scans des T\u00e4ters noch nicht gegen FG-IR-18-384 \/ CVE-2018-13379 gepatcht waren.<\/p>\n

Das Problem: Selbst wenn die Systeme gepatcht wurden, sind sie weiterhin anf\u00e4llig, sofern die Passw\u00f6rter f\u00fcr die SSL-VPN-Zug\u00e4nge nicht zur\u00fcckgesetzt wurden. Genau dieser Ansatz wird bei der aktuellen Angriffswelle genutzt, um das Internet nach FortiGate SSL-VPN-Zug\u00e4ngen zu scannen und dann die Sammlung an Zugangsdaten bei einem Angriff auszuprobieren. Dabei k\u00f6nnen die Instanzen \u00fcber ihre IPs, die wohl auch in der Datensammlung stecken, gezielt durchprobiert werden. Schaue ich mir diese Grafik<\/a> an, sind auch deutsche FortiGate-Instanzen dabei. Die FortiGate-Sicherheitswarnung Malicious Actor Discloses FortiGate SSL-VPN Credentials<\/a> enth\u00e4lt konkrete Hinweise wie vorzugehen ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch eine kurze Information f\u00fcr Administratoren von FortiGate-Installationen, die schon einige Tage bei mir d\u00fcmpelt. Unbekannte haben eine Sammlung von 87.000 FortiGate SSL-VPN Zugangsdaten erstellt, die sie nun gezielt f\u00fcr Angriffe auf entsprechende Installationen verwenden. CERT-Bund hat gerade eine entsprechende … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-257490","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257490","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257490"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257490\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257490"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257490"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257490"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}