Auf den Punkt: FortiGate-Geräte mit aktivierter SSL-VPN wurden durch drei kritische Schwachstellen kompromittiert. Angreifer nutzen diese, um Hintertüren zu installieren und Lesezugriff auf Dateisysteme zu erlangen. In Österreich sind bis zu 840 Geräte betroffen. Fortinet hat Patches und Abhilfemaßnahmen bereitgestellt.
Fortinet hat am 10. April Informationen zu einer weltweiten Kompromittierung von FortiGate-Geräten veröffentlicht. Angreifer exploitieren drei bekannte Schwachstellen in der SSL-VPN-Funktion und platzieren eine Hintertür, um dauerhaften Lesezugriff auf Unternehmenssysteme zu ermöglichen.
Fortinet veröffentlichte am Freitag, den 10. April, Informationen zu einer weltweiten Kompromittierung von FortiGate-Geräten, die Angreifern dauerhaften Lesezugriff ermöglichten. Die Angreifer nutzten offenbar drei bekannte Schwachstellen in der SSL-VPN-Funktion und platzierten eine Hintertür im Dateisystem, um den illegalen Zugriff nachhaltig zu ermöglichen.
FortiGate ist eine VPN-Lösung für Fernzugriff auf Unternehmenssysteme. Die Legacy-SSL-VPN-Funktion war durch die kritischen Schwachstellen CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 gefährdet. Jede dieser Sicherheitslücken ermöglichte es entfernten, nicht authentifizierten Angreifern, Code auf dem Gerät auszuführen.
Angreifer nutzten diese Schwachstellen zur Kompromittierung und platzierten dann einen symbolischen Link in einem Ordner für Sprachdateien. Da auf diese Dateien ohne Authentifizierung zugegriffen werden kann, erhielt jeder mit Kenntnis des Speicherorts Lesezugriff auf das Dateisystem einschließlich der vollständigen Gerätekonfiguration. Die von Fortinet bereitgestellten Patches entfernten den symbolischen Link nicht.
Die ShadowServer Foundation identifizierte weltweit mehrere tausend gefährdete Geräte. Nach interner Analyse sind in Österreich in der Spitze bis zu 840 Geräte betroffen. Alle FortiGate-Geräte, physisch oder virtuell, mit aktivierter SSL-VPN-Funktion sind potenziell gefährdet, wenn sie jemals für eine der genannten Schwachstellen anfällig waren. Nach Angaben von CERT.nz könnten die Angriffe bereits im Jahr 2023 stattgefunden haben.
CERT.at wurde Anfang des Jahres von einer dritten Partei über diesen Vorfall informiert und beobachtet die Situation in Österreich seither genau. Seit Februar werden Netzbetreiber aktiv informiert.
Fortinet empfiehlt verdächtige Systeme forensisch zu untersuchen und die definierten Sicherheitsprozesse einzuleiten. Das Unternehmen hat Abhilfemaßnahmen veröffentlicht: AV/IPS-Signaturen zur Erkennung des böswilligen Symlinks bei Geräten mit aktivem IPS sowie FortiOS-Versionen 7.6.2, 7.4.7, 7.2.11, 7.0.17 und 6.4.16, die den Symlink entfernen. Darüber hinaus hat Fortinet Richtlinien zur Wiederherstellung kompromittierter Geräte veröffentlicht.
Quelle: www.cert.at