FBI und CISA warnen davor, dass APTs ungepatchte Fortinet-Sicherheitslücken ausnutzen

FBI und CISA warnen davor, dass APTs ungepatchte Fortinet-Sicherheitslücken ausnutzen Image

Laut einer gemeinsamen Erklärung des FBI und der Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security nutzen internationale Advanced Persistent Threats oder APTs derzeit ungepatchte Schwachstellen in Fortinet FortiOS-Plattformen, die Technologiedienstleistern, Regierungsbehörden und Entitäten aus dem privaten Sektor gehören.

Die APTs haben die Mängel CVE-2018-13379, CVE-2020-12812 und CVE-2019-5591 behoben, die ursprünglich im Jahr 2019 entdeckt wurden. Diese neueste Hacking-Kampagne ermöglicht es Angreifern, in das Netzwerk des Opfers einzudringen und dort zu warten für zukünftige Cyberangriffe.

CVE-2018-13379 ist mit den Plattformen Fortinet FortiOS 6.0.0 bis 6.0.4, 5.6.3 bis 5.6.7 und 5.4.6 bis 5.4.12 verknüpft und wurde durch die unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis unter der Plattform VPN-Webportal (SSL Virtual Private Network) verursacht.

Sobald der Fehler ausgenutzt ist, können Angreifer Systemdateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterladen. In einer früheren CISA-Warnung wurde angegeben, dass ein Exploit möglicherweise auch Kennwörter über das anfällige System offenlegen kann.

Wie werden Sicherheitslücken ausgenutzt?

Um die Sicherheitsanfälligkeit auszunutzen, müssen Hacker zunächst die Anmeldeinformationen der angemeldeten SSL-VPN-Benutzer abrufen.

In früheren Hacking- Kampagnen haben Cyberkriminelle diese Sicherheitslücken in verketteten Kampagnen genutzt. Der Hacker müsste zunächst eine Fortinet FortiOS-Sicherheitsanfälligkeit nutzen, um Zugang zum Netzwerk des Opfers zu erhalten. Anschließend würde er den Angriff mit einer kritischen Netlogon-Sicherheitsanfälligkeit, CVE-2020-1472, kombinieren, um die Berechtigungen während eines einzelnen Verstoßes zu erhöhen.

Bei diesen jüngsten Angriffen warnten die US-Sicherheitsbehörden, dass APTs derzeit an den Ports 4443, 8443 und 10443 nach Geräten suchen, um CVE-2018-13379 zu finden, sowie nach Geräten für CVE-2020-12812 und CVE-2019- 5591.

Schwachstellen werden in der Regel durch APTs genutzt , um DDoS - Attacken ausführen, Ransomware, Speer- Phishing, SQL - Injection - Angriffe, defacement und Desinformationskampagnen, gemäß der gemeinsamen Erklärung.

Während dieser Kampagne sollen die APTs die Fortinet-Fehler nutzen, um Netzwerkzugriff für mehrere kritische Infrastruktursektoren zu erhalten. Die Warnung lautete "Vorpositionierung für nachfolgende Datenexfiltration oder Datenverschlüsselungsangriffe".

"APT-Akteure können andere CVEs oder gängige Ausbeutungstechniken wie Spear-Phishing verwenden, um Zugang zu kritischen Infrastrukturnetzwerken zu erhalten, um sich für Folgeangriffe vorzubereiten", heißt es in der Erklärung.

Kritischen Infrastrukturunternehmen wird jetzt empfohlen, das Fortinet-Softwareupdate sofort auf ihre Geräte anzuwenden.

Unternehmen, die diese Technologie nicht einsetzen, sollten FortiOS-Schlüsselartefaktdateien sofort zu ihrer Ausführungsverweigerungsliste hinzufügen, um mögliche Versuche zu verhindern, das Programm und seine Dateien zu installieren und / oder auszuführen.

Was empfehlen das CISA und das FBI den Benutzern?

Die US-Behörden empfehlen ferner, Administratoranmeldeinformationen für alle Softwareinstallationen zu verlangen und die Multi-Faktor-Authentifizierung für alle relevanten Endpunkte zu nutzen. Die Netzwerksegmentierung wird außerdem dringend empfohlen, um anfällige Technologien vom Hauptnetzwerk zu isolieren und regelmäßig Daten auf einem kennwortgeschützten Offline-Speicherserver zu sichern.

Ein Fokus auf eine stärkere Sensibilisierung der Mitarbeiter und zusätzliche Schulungen zum Identifizieren und Vermeiden von Phishing-E-Mails wird ebenso empfohlen wie das Deaktivieren von Hyperlinks in Nachrichten und das Markieren externer E-Mails.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".


HTML ist nicht erlaubt.