Fortinet berichtet über eine aktuelle Variante, mit der sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. IT-Forscher haben derweil mehr als 14.000 kompromittierte Fortinet-Firewalls weltweit aufgespürt.
In einem Blog-Beitrag erörtert Fortinet, dass Angreifer bekannte Sicherheitslücken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht haben. Die konkret untersuchten Fälle betrafen Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").
Solche Angriffe sind nicht ungewöhnlich. Was für die Fortinet-Analysten neu war, ist, wie sich die Angreifer eingenistet haben. Sie haben auf erfolgreich attackierten FortiGate-Geräten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner für Sprachdateien des SSL-VPNs erstellt. Der Symlink wurde im User-Dateisystem erstellt und versuchte so, der Entdeckung zu entgehen. Selbst nach dem Anwenden von Aktualisierungen zum Schließen der angegriffenen Schwachstelle konnte der Symlink erhalten bleiben und den Angreifern lesenden Zugriff auf das Dateisystem – einschließlich der Konfiguration – ermöglichen. Wenn das SSL-VPN nie aktiviert war, ist dieser Angriff jedoch nicht möglich, erklärt Fortinet.
Fortinet hat eine Signatur erstellt, die diese Symlinks entfernen soll, außerdem soll auch die SSL-VPN-Software angepasst worden sein, sie auszufiltern. Kunden, die als davon betroffen erkannt wurden, hat Fortinet zudem darüber informiert. Die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sowie 6.4.16 korrigiert das Problem auf jeweils angepasste Weise. Zudem sollen IT-Verantwortliche die Konfiguration der Geräte überprüfen.
Auf X hat die Shadowserver Foundation zudem tausende aktuell kompromittierte Fortinet-Geräte gemeldet. Die meisten betroffenen Maschinen stehen in den USA (1.500), Deutschland war am vergangenen Freitag mit 233 unterwanderten Fortinet-Geräten auf Platz 18 der Liste zu finden. Am Montag waren rund 14.600 Fortinet-Systeme weltweit kompromittiert, zeigt die aktuelle Statistik von Shadowserver.
(
Kommentare