Sicherheitshinweis: FortiBleed-Kampagne – Großangelegter Angriff auf Fortinet-Geräte

Forscher haben kürzlich eine groß angelegte Kampagne namens „FortiBleed“ aufgedeckt, bei der Anmeldedaten für Fortinet FortiGate-Firewalls und SSL-VPN-Geräte in Umgebungen weltweit kompromittiert und offengelegt wurden.

Im Gegensatz zu herkömmlichen Sicherheitslücken handelt es sich bei FortiBleed nicht um eine einzelne CVE oder eine bestätigte Zero-Day-Sicherheitslücke. Vielmehr handelt es sich um eine aktive Kampagne zur Offenlegung und Ausnutzung von Anmeldedaten, bei der wiederverwendete und potenziell offengelegte Anmeldedaten in großem Umfang genutzt werden.

Die genaue Herkunft der in dieser Kampagne verwendeten Anmeldedaten ist noch nicht bestätigt. Die Aktivitäten stehen jedoch im Einklang mit Techniken zur groß angelegten Wiederverwendung und zum Sammeln von Anmeldedaten.

Es wurde beobachtet, dass die Kampagne Zehntausende von mit dem Internet verbundenen Fortinet-Geräten in mehr als 190 Ländern betrifft und Organisationen in den Bereichen kritische Infrastruktur, Behörden und Unternehmen in Mitleidenschaft zieht.

Diese Aktivität verdeutlicht das Risiko der Wiederverwendung von Anmeldedaten, ungeschützter Verwaltungsschnittstellen und unzureichender Authentifizierungskontrollen, insbesondere bei Edge-Infrastrukturen wie VPN-Gateways.

Was die Kampagne beinhaltet

FortiBleed zeichnet sich durch ein hochautomatisiertes Angriffsmodell aus, das mehrere Techniken kombiniert, anstatt sich auf einen einzigen Exploit zu stützen.

Zu den gemeldeten oder beobachteten Aktivitäten im Zusammenhang mit der Kampagne gehören:

• Wiederverwendung von Anmeldedaten und Credential Stuffing unter Verwendung großer Datensätze bekannter oder offengelegter Anmeldedaten
• Massives Scannen des Internets zur Identifizierung exponierter Fortinet-Geräte
• Groß angelegte Authentifizierungsversuche, einschließlich Brute-Force-Angriffe auf VPN- und Administrationsschnittstellen
• Mögliches Abfangen oder Sammeln von Authentifizierungsdaten aus kompromittierten Systemen
• Wiederverwendung neu erlangter Anmeldedaten zur potenziellen Ausweitung des Zugriffs

In vielen Fällen scheint die Kampagne eher auf gültige Anmeldedaten zu setzen als eine bestimmte Software-Schwachstelle auszunutzen, was die Erkennung durch herkömmliche Schwachstellenmanagement-Prozesse erschwert.

Umfang und Auswirkungen

Öffentliche Berichte deuten auf Folgendes hin:

• Bis zu ca. 73.000 Fortinet-Firewall- und VPN-Endpunkte könnten mit offengelegten Anmeldedaten in Verbindung stehen
• In den Datensätzen der Angreifer befinden sich für über 30.000 Geräte nachweislich funktionierende Zugangsdaten
• Die Aktivitäten erstrecken sich über 194 Länder und betreffen sowohl Organisationen des öffentlichen als auch des privaten Sektors

Zu den betroffenen Systemen gehören:

• FortiGate-Firewalls (Hauptziel)
• dem Internet exponierte SSL-VPN-Schnittstellen
• Verwaltungsportale für Fortinet-Geräte

Ein erfolgreicher Angriff könnte Angreifern Folgendes ermöglichen:

• sich dauerhaften Zugriff auf Netzwerk-Edge-Geräte verschaffen
• Den Netzwerkverkehr zu überwachen und aufzuzeichnen
• Weitere Anmeldedaten zu erbeuten
• Sich in interne Systeme wie Active-Directory-Umgebungen einzuschleusen

Wichtige Klarstellung

Es ist wichtig zu beachten:

• In vielen Fällen scheint die Kampagne eher auf gültige Anmeldedaten als auf eine einzelne identifizierte Software-Sicherheitslücke zu setzen.
• Aktuelle Analysen deuten darauf hin, dass im Rahmen der Kampagne Anmeldedaten in großem Umfang wiederverwendet werden, auch wenn die genauen Methoden für den Erstzugang variieren können und noch nicht vollständig bestätigt sind.
• Einige bekannte Fortinet-Sicherheitslücken könnten opportunistisch ausgenutzt werden, sind jedoch nicht als Hauptursache der Kampagne bestätigt

Bedrohungsaktivitäten

Die Kampagne soll Folgendes umfassen:

• Hochgradig automatisierte Aktivitäten, die potenziell in der Lage sind, große Mengen an Authentifizierungsversuchen zu verarbeiten
• Kontinuierliches oder wiederholtes Scannen und Überprüfen von Anmeldedaten bei exponierten Systemen
• Wiederverwendung kompromittierter Anmeldedaten, was es Angreifern ermöglichen könnte, ihren Zugriff im Laufe der Zeit auszuweiten

Einige Berichte deuten auf eine Zuordnung zu organisierten, finanziell motivierten Angreifern hin, doch die Zuordnung wird noch untersucht.

Was dies für Unternehmen bedeutet

FortiBleed verdeutlicht einen Trend hin zu:

• Groß angelegte, auf Zugangsdaten basierende Angriffskampagnen
• Zunächst gezielte Angriffe auf Geräte am Netzwerkperimeter statt auf interne Systeme
• Ausnutzung identitätsbasierter Schwachstellen anstelle von vorwiegend Softwarefehlern

Unternehmen sind möglicherweise gefährdet, wenn sie:

• Fortinet-Verwaltungsschnittstellen oder VPN-Portale dem Internet aussetzen
• Passwörter systemübergreifend wiederverwenden oder Anmeldedaten nicht regelmäßig ändern
• keine Multi-Faktor-Authentifizierung (MFA) durchsetzen
• keinen Einblick in die Authentifizierungsaktivitäten auf Geräten am Netzwerkrand haben

Da gültige Anmeldedaten verwendet werden können, erscheinen Kompromittierungen möglicherweise als legitime Aktivitäten, was die Erkennung verzögert.

Empfohlene Maßnahmen zur Risikominderung

1. Prüfen Sie, ob Ihr Unternehmen betroffen ist

Durchsuchen Sie die Domains, IP-Adressen und bekannten Anmeldedaten Ihres Unternehmens mit dem Fortinet Exposure Checker von Hudson Rock (https://www.hudsonrock.com/fortinet) oder andere vertrauenswürdige externe Tools, um festzustellen, ob diese in öffentlich identifizierten Datensätzen im Zusammenhang mit dieser Kampagne vorkommen. Verfolgen Sie alle Übereinstimmungen mit einer Zurücksetzung der Anmeldedaten und einer Überprüfung der Protokolle weiter.

2. Ändern Sie die Anmeldedaten unverzüglich

• Setzen Sie die Passwörter für alle Fortinet-Geräte und Administratorkonten zurück
• Setzen Sie strenge Passwortrichtlinien durch
• Vermeiden Sie die Wiederverwendung zuvor offengelegter Anmeldedaten

3. Setzen Sie die Multi-Faktor-Authentifizierung (MFA) durch

• Wenden Sie MFA auf alle VPN- und Administratorzugriffe an
• Priorisieren Sie MFA bei Diensten mit Internetanbindung

4. Beschränken Sie die Sichtbarkeit von Verwaltungsschnittstellen

• Beschränken Sie den Zugriff auf Fortinet-Verwaltungsportale und SSL-VPN-Endpunkte
• Verwenden Sie IP-Whitelists oder VPN-Zugriffsbeschränkungen
• Vermeiden Sie nach Möglichkeit eine direkte Anbindung an das öffentliche Internet

5. Überwachen Sie die Authentifizierungsaktivitäten

• Überprüfen Sie die Protokolle auf:
  • Ungewöhnliche Anmeldeversuche
  • Wiederholte Authentifizierungsfehler
  • Anmeldungen von unerwarteten geografischen Standorten
• Untersuchen Sie jedes ungewöhnliche Sitzungsverhalten

6. Auf Anzeichen einer Kompromittierung prüfen

• Auf nicht autorisierte Konten oder Konfigurationsänderungen prüfen
• Überwachen Sie ungewöhnlichen ausgehenden Datenverkehr von Fortinet-Geräten
• Überprüfen Sie die Integrität der Systemkonfigurationen

7. Sicherheitsupdates installieren

Obwohl FortiBleed nicht mit einer bestimmten Sicherheitslücke in Verbindung steht, stellen Sie Folgendes sicher:

• Alle Fortinet-Systeme vollständig gepatcht sind
• Bekannte, bereits ausgenutzte Sicherheitslücken behoben sind

Risikozusammenfassung

FortiBleed stellt eher eine weltweit durchgeführte, auf Zugangsdaten basierende Angriffskampagne mit weitreichenden Auswirkungen dar als einen herkömmlichen, auf einer Sicherheitslücke beruhenden Vorfall.

Da die Angreifer auf gültige Anmeldedaten und vertrauenswürdige Zugriffspfade zurückgreifen können, lassen sich viele herkömmliche Sicherheitskontrollen umgehen, sodass die Angriffe über längere Zeiträume unentdeckt bleiben.

Unternehmen sollten diese Aktivität als vorrangiges Risiko für die Sicherheit ihres Netzwerkperimeters betrachten und unverzüglich Maßnahmen ergreifen, um zu überprüfen, ob in ihrer Umgebung offengelegte Anmeldedaten oder anfällige Zugriffspfade vorhanden sind.

Sollten Sie Bedenken hinsichtlich einer der in diesem Bulletin beschriebenen Bedrohungen haben oder Hilfe bei der Ermittlung geeigneter Maßnahmen benötigen, um sich vor den für Ihr Unternehmen relevantesten Bedrohungen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder kontaktieren Sie uns,um zu erfahren, wie Sie Ihr Unternehmen schützen können.