FBI: APTs nutzen aktiv Fortinet-VPN-Sicherheitslücken aus

Cyber Security News

Drei Sicherheitslücken im Fortinet SSL VPN werden genutzt, um in Netzwerken Fuß zu fassen, bevor sie sich seitlich bewegen und Aufklärung betreiben.

Das FBI und die Cybersecurity and Infrastructure Security Agency warnen davor, dass APTs (Advanced Persistent Threats), also nationalstaatliche Akteure, aktiv bekannte Sicherheitsschwachstellen im Cybersecurity-Betriebssystem FortiOS von Fortinet ausnutzen, die die SSL-VPN-Produkte des Unternehmens betreffen.

Laut einer am Freitag veröffentlichten Warnung des FBI und der CISA scannen Cyberangreifer Geräte auf den Ports 4443, 8443 und 10443 und suchen nach ungepatchten Fortinet-Sicherheitsimplementierungen. Konkret nutzen die APTs die Sicherheitslücken CVE-2018-13379, CVE-2019-5591 und CVE-2020-12812 aus.

“Es ist wahrscheinlich, dass die APT-Akteure nach diesen Schwachstellen scannen, um sich Zugang zu mehreren Regierungs-, kommerziellen und Technologiedienstleistungsnetzwerken zu verschaffen”, heißt es in der Warnung. “APT-Akteure haben in der Vergangenheit kritische Schwachstellen ausgenutzt, um Distributed-Denial-of-Service-Angriffe (DDoS), Ransomware-Angriffe, SQL-Injection-Angriffe (Structured Query Language), Spear-Phishing-Kampagnen, Website-Defacements und Desinformationskampagnen durchzuführen.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

Der als CVE-2018-13379 verfolgte Fehler ist ein Path-Traversal-Problem in Fortinet FortiOS, bei dem das SSL-VPN-Webportal es einem nicht authentifizierten Angreifer ermöglicht, Systemdateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterzuladen.

Bei der Schwachstelle CVE-2019-5591 handelt es sich um eine Standardkonfigurationsschwachstelle in FortiOS, die es einem nicht authentifizierten Angreifer im selben Subnetz ermöglichen könnte, sensible Informationen abzufangen, indem er sich als LDAP-Server ausgibt.

Und schließlich handelt es sich bei CVE-2020-12812 um eine Sicherheitslücke bei der unsachgemäßen Authentifizierung in SSL-VPN in FortiOS, die es einem Benutzer ermöglichen könnte, sich erfolgreich anzumelden, ohne zur Eingabe des zweiten Authentifizierungsfaktors (FortiToken) aufgefordert zu werden, wenn er die Groß-/Kleinschreibung seines Benutzernamens ändert.

“Angreifer haben es zunehmend auf kritische externe Anwendungen abgesehen – VPNs wurden im letzten Jahr noch stärker ins Visier genommen”, sagte Zach Hanley, Senior Red Team Engineer bei Horizon3.AI, per E-Mail. “Diese drei Schwachstellen, die auf das Fortinet-VPN abzielen, ermöglichen es einem Angreifer, gültige Anmeldedaten zu erhalten, die Multifaktor-Authentifizierung (MFA) zu umgehen und den Authentifizierungsverkehr per Man-in-the-Middle (MITM) abzufangen.”

Hanley fügte hinzu: “Das gemeinsame Thema hier ist: Sobald sie erfolgreich sind, werden sie wie Ihre normalen Benutzer aussehen.”

Die Bugs sind bei Cyberangreifern im Allgemeinen beliebt, da Fortinet weit verbreitet ist, wie die Forscher feststellten.

“CVE-2018-13379 ist eine kritische Schwachstelle im Fortinet FortiOS SSL VPN, die bei Cyberkriminellen sehr beliebt ist, seit im August 2019 Details zum Exploit bekannt wurden”, sagte Satnam Narang, Staff Research Engineer bei Tenable, per E-Mail. “In der Retrospektive der Bedrohungslandschaft 2020 von Tenable wurde die Schwachstelle sogar in die Top 5 der Schwachstellen des Jahres 2020 aufgenommen, weil wir sehen, dass Bedrohungsakteure sie weiterhin in freier Wildbahn ausnutzen, weit mehr als ein Jahr nach ihrer ersten Veröffentlichung.”

Das FBI und die CISA haben nicht angegeben, welche APTs die jüngsten Aktivitäten durchführen.

Initial Compromise & Recon

Sobald die Angreifer das System ausgenutzt haben, bewegen sie sich seitlich und führen Aufklärungsarbeiten an den Zielen durch, so die Beamten.

“Die APT-Akteure verwenden möglicherweise einige oder alle dieser CVEs, um sich Zugang zu Netzwerken in verschiedenen Bereichen kritischer Infrastrukturen zu verschaffen, um sich Zugang zu wichtigen Netzwerken zu verschaffen, als Vorbereitung für nachfolgende Datenexfiltrations- oder Datenverschlüsselungsangriffe”, so die Warnung. “APT-Akteure können andere CVEs oder gängige Exploitation-Techniken – wie Spear-Phishing – verwenden, um sich Zugang zu kritischen Infrastruktur-Netzwerken zu verschaffen, um sich für nachfolgende Angriffe vorzubereiten.”

Die gemeinsame Cybersecurity-Beratung von FBI und CISA folgt auf eine Reihe von Warnungen von US-Behörden im letzten Jahr über APT-Gruppen, die ungepatchte Schwachstellen nutzen, um Bundesbehörden und kommerzielle Organisationen anzugreifen. So wurde im Oktober eine Warnung herausgegeben, dass APTs Schwachstellen in veralteten VPN-Technologien von Fortinet, Palo Alto Networks und Pulse Secure nutzen, um Cyberangriffe auf Ziele in den Vereinigten Staaten und in Übersee auszuführen.

“Es ist keine Überraschung, dass weitere Fortinet FortiOS-Schwachstellen wie CVE-2019-5591 und CVE-2020-12812 zur Liste der bekannten, aber ungepatchten Schwachstellen hinzugefügt wurden, die von diesen Bedrohungsakteuren ausgenutzt werden”, so Narang. “In den letzten Jahren waren SSL-VPN-Schwachstellen ein attraktives Ziel für APT-Gruppen und Cyberkriminelle gleichermaßen. Mit der Verlagerung zu Remote-Arbeit und der gestiegenen Nachfrage nach SSL-VPNs wie Fortinet und anderen, haben sich die Angriffsfläche und die verfügbaren Ziele erweitert. Unternehmen sollten diesen Hinweis ernst nehmen und ihre Fortinet-Geräte umgehend mit Patches versehen, falls sie dies nicht bereits getan haben.”

Wie kann ich mein Netzwerk vor Cyberangriffen schützen?

Das FBI und die CISA schlagen eine Reihe von Best Practices vor, mit denen Unternehmen diese und andere Angriffe vereiteln können: Patchen Sie sofort die CVEs 2018-13379, 2020-12812 und 2019-5591. Wenn FortiOS nicht von Ihrer Organisation verwendet wird, fügen Sie wichtige Artefaktdateien, die von FortiOS verwendet werden, zur Ausführungsverhinderungsliste Ihrer Organisation hinzu. Alle Versuche, dieses Programm und die zugehörigen Dateien zu installieren oder auszuführen, sollten verhindert werden. Erstellen Sie regelmäßig Sicherungskopien Ihrer Daten und schützen Sie die Sicherungskopien offline mit einem Passwort. Stellen Sie sicher, dass Kopien kritischer Daten nicht für Änderungen oder Löschungen vom Primärsystem aus zugänglich sind, auf dem sich die Daten befinden. Implementieren Sie eine Netzwerksegmentierung. Für die Installation von Software sind Administrator-Anmeldeinformationen erforderlich. Implementieren Sie einen Wiederherstellungsplan, um sensible oder geschützte Daten von einem physisch getrennten, segmentierten, sicheren Ort (z. B. Festplatte, Speichergerät, Cloud) wiederherzustellen. Installieren Sie Updates/Patches für Betriebssysteme, Software und Firmware, sobald Updates/Patches veröffentlicht werden. Verwenden Sie, wenn möglich, eine Multifaktor-Authentifizierung. Ändern Sie regelmäßig die Passwörter für Netzwerksysteme und Konten und vermeiden Sie die Wiederverwendung von Passwörtern für verschiedene Konten. Implementieren Sie den kürzesten akzeptablen Zeitrahmen für Passwortänderungen. Deaktivieren Sie ungenutzte Remote-Zugriffs-/Remote-Desktop-Protokoll (RDP)-Ports und überwachen Sie Remote-Zugriffs-/RDP-Protokolle. Überprüfen Sie Benutzerkonten mit administrativen Rechten und konfigurieren Sie Zugriffskontrollen mit Blick auf die geringsten Rechte. Installieren und aktualisieren Sie regelmäßig Antiviren- und Anti-Malware-Software auf allen Hosts. Erwägen Sie das Hinzufügen eines E-Mail-Banners zu E-Mails, die von außerhalb Ihrer Organisation empfangen werden. Deaktivieren Sie Hyperlinks in empfangenen E-Mails. Fokus auf Sensibilisierung und Schulung. Bieten Sie Anwendern Schulungen zu Prinzipien und Techniken der Informationssicherheit an, insbesondere zum Erkennen und Vermeiden von Phishing-E-Mails.

Informieren Sie sich über unsere kommenden kostenlosen Live-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Underground Markets: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com