Sicher & Anonym, Verschlüsselung & Datensicherheit

Fortinet: Angreifer nutzen kritische Schwachstellen im VPN für künftige Attacken

US-Sicherheitsbehörden melden Advanced Persistent Threat: Organisierte Cyberkriminelle stehlen Zugangsdaten staatlicher Stellen durch Lücken im Fortinet-VPN

Wie FBI und CISA (Cybersecurity and Infrastructure Agency) mitteilen, ist das VPN (Virtual Private Network) von Fortinet, einem Hersteller von IT-Sicherheitssoftware, zurzeit wohl von Angriffen durch fortschrittliche Cyberkriminelle betroffen. Die Akteure seien gut organisierte Gruppen, die sich durch gängige Exploitation-Techniken Zugang zu staatlichen, privatwirtschaftlichen und technologischen Diensten verschafften, um darin sogenannte "Brückenköpfe" für spätere Angriffe zu platzieren. Die beiden US-amerikanischen Bundesbehörden sprechen in ihrer Stellungnahme (Joint Advisory) von einem Advanced Persistent Threat (APT).

Firewalls zum Abschirmen interner Netzwerke betroffen

Betroffen sind dem Advisory zufolge hauptsächlich Border-Firewalls, die zum Abschirmen sensibler interner Netzwerke vom öffentlichen Internet dienen. Zwei der genannten Schwachstellen sind zwar bereits gepatcht, gelten aber als besonders schwerwiegend, da Angreifer durch sie unter Umgehung der Authentifizierung Zugangsdaten abgreifen können und sich mit noch nicht aktualisierten VPN weiterhin verbinden könnten.

Zugriff auf interne Dienste durch Single-Sign-on

Die VPN-Anmeldeinformationen können den Angreifern im ungünstigsten Falle unmittelbar Zugriff auf andere interne Dienste eröffnen, die mit dem VPN verknüpft sind (wenn es sich beispielsweise um Single-Sign-on-Informationen handelt wie bei einem Active Directory). Als gepatcht gelten die beiden älteren Schwachstellen CVE-2020-12812 (zum Umgehen der Zweifaktor-Authentifizierung, gepatcht im Juli 2020) und CVE-2018-13379 (gepatcht im Mai 2019). Letztere ermöglichte es nicht authentifizierten Angreifern, Betriebssystemdateien herunterzuladen. Auch Passwortdatenbanken lassen sich auf diese Weise ausnutzen, geht aus dem Advisory hervor. Mit einer dritten Schwachstelle (CVE-2019-5591, gepatcht im Juli 2019) lassen sich offenbar interne Dienste ausnutzen und Angreifer können das Netzwerk erkunden.

Gepatchte Schwachstellen weiter ausgenutzt

Dem Advisory zufolge werden alle drei Schwachstellen zurzeit wohl weiterhin aktiv ausgenutzt, obwohl sie herstellerseitig gepatcht sind. Betroffenen hat Fortinet in einer Stellungnahme gegenüber dem Tech-Portal Ars Technica zu umgehendem Upgrade veralteter Versionen geraten. Zum Beseitigen der Schwachstellen müssen IT-Administratoren der Meldung zufolge die Konfiguration ändern. Betreibt ein Unternehmen nur ein VPN, kann es dabei zu Ausfallzeiten kommen. Laut Advisory sei das Risiko durch Ransomware oder Spionage jedoch größer.

Weiterführende Hinweise lassen sich dem Joint Advisory des FBI und der CISA entnehmen.

 

Quelle: heise Online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben