FBI gibt Fortinet-Blitzwarnung aus

Cyber Security News

Das United States Federal Bureau of Investigation hat am Donnerstag eine Flash-Warnung über die Ausnutzung von Fortinet-Schwachstellen durch APT-Gruppen (Advanced Persistent Threats) herausgegeben.

Laut FBI hat eine APT-Akteursgruppe “mit ziemlicher Sicherheit” seit mindestens Mai 2021 eine FortiGate-Appliance ausgenutzt, um auf einen Webserver zuzugreifen, der die Domain für eine US-Stadtverwaltung hostet.

Die APT-Akteure haben möglicherweise neue Benutzerkonten auf Domänencontrollern, Servern, Workstations und den aktiven Verzeichnissen eingerichtet, um bösartige Aktivitäten im Netzwerk durchführen zu können.

“Einige dieser Konten scheinen so erstellt worden zu sein, dass sie anderen bestehenden Konten im Netzwerk ähneln, daher können die spezifischen Kontonamen je nach Organisation variieren”, so das FBI. Das FBI warnte jedoch Organisationen, nach Konten Ausschau zu halten, die mit den Benutzernamen “elie” oder “WADGUtilityAccount” erstellt wurden.

Einmal in ein Netzwerk eingedrungen, können die APT-Akteure Datenexfiltration, Datenverschlüsselung oder andere bösartige Aktivitäten durchführen.

Die Warnung kommt nur einen Monat, nachdem das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) davor gewarnt haben, dass APT-Akteure sich Zugang zu Geräten an den Ports 4443, 8443 und 10443 für Fortinet FortiOS CVE-2018-13379 verschafft haben, sowie zu aufgezählten Geräten für FortiOS CVE-2020- 12812 und FortiOS CVE-2019-5591.

Die cyberkriminellen Aktivitäten scheinen sich eher auf die Ausnutzung bestimmter Schwachstellen als auf bestimmte Branchen zu konzentrieren, da die APT-Akteure dabei beobachtet wurden, wie sie aktiv ein breites Spektrum von Opfern aus verschiedenen Branchen anvisierten.

“Die Tatsache, dass diese alten Schwachstellen trotz dieser Warnungen weiterhin ausgenutzt werden, ist ein warnendes Beispiel dafür, dass ungepatchte Schwachstellen ein wertvolles Werkzeug für APT-Gruppen und Cyber-Kriminelle im Allgemeinen bleiben”, kommentiert Satnam Narang, Staff Research Engineer bei Tenable.

Sie fügten hinzu: “Ungepatchte Schwachstellen, nicht Zero-Days, sind heute die größte Bedrohung für die meisten Organisationen, weil Angreifer so auf dem schnellsten und billigsten Weg zu ihrem Ziel gelangen. Es ist zwingend erforderlich, dass sowohl öffentliche als auch private Organisationen, die das FortiGate SSL VPN nutzen, diese Patches sofort anwenden, um zukünftige Kompromittierungen zu verhindern.”

Narang sagte, dass das Risiko, das von ungepatchten Schwachstellen ausgeht, durch die breite Verlagerung der Belegschaft hin zur Remote-Arbeit im vergangenen Jahr noch weiter erhöht wurde.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com