Cyberangreifer setzen den Angriff auf Fortinet-Geräte fort

Anfang März rief ein Kunde das Incident Response Team von Fortinet an, als mehrere FortiGate Security Appliances nicht mehr funktionierten und in einen Fehlermodus wechselten, nachdem die Firmware einen Integritätsselbsttest nicht bestanden hatte.

Es war ein Cyberangriff, der zur Entdeckung der neuesten Schwachstelle in Fortinet-Geräten führte, einem mittelschweren, aber hochgradig ausnutzbaren Fehler (CVE-2022-41328), die es einem privilegierten Angreifer ermöglicht, Dateien zu lesen und zu schreiben. Die Bedrohungsgruppe, die Fortinet als „fortgeschrittenen Akteur“ bezeichnete, schien es auf Regierungsbehörden oder regierungsnahe Organisationen abgesehen zu haben, erklärte das Unternehmen in eine aktuelle Analyse des Angriffs.

Der Vorfall zeigt aber auch, dass Angreifer Fortinet-Geräten große Aufmerksamkeit schenken. Und die Angriffsfläche ist groß: Bisher in diesem Jahr 60 Schwachstellen in Fortinet-Produkten wurden CVEs zugewiesen und in der National Vulnerability Database veröffentlicht, doppelt so häufig wie im vorangegangenen Spitzenjahr 2021 Fehler in Fortinet-Geräten aufgedeckt wurden. Viele sind auch kritisch: Anfang dieses Monats enthüllte Fortinet, dass eine kritische Puffer-Underwrite-Schwachstelle in FortiOS und FortiProxy (CVE-2023-25610) könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, beliebigen Code auf einer Vielzahl von Geräten auszuführen.

Auch das Interesse ist groß. Im November warnte beispielsweise eine Sicherheitsfirma vor einer cyberkriminellen Gruppe verkaufte Zugang zu kompromittierten FortiOS-Geräten in einem russischen Dark-Web-Forum. Aber ob die Schwachstellen Aufmerksamkeit erregt haben oder umgekehrt, ist strittig, sagt David Maynor, Senior Director of Threat Intelligence bei Cybrary, einem Sicherheitstrainingsunternehmen.

„Angreifer riechen Blut im Wasser“, sagt er. „Die Anzahl und Häufigkeit von aus der Ferne ausnutzbaren Schwachstellen hat in den letzten zwei Jahren mit halsbrecherischer Geschwindigkeit zugenommen. Wenn es eine nationalstaatliche Gruppe gibt, die Fortinet-Exploits nicht integriert, schleppen sie sich an die Arbeit.“

Wie andere Netzwerksicherheits-Appliances bewohnen Fortinet-Geräte den kritischen Punkt zwischen dem Internet und internen Netzwerken oder Anwendungen, was sie zu einem wertvollen Angriffsziel für Angreifer macht, die nach einem Fuß in Unternehmensnetzwerken suchen, sagte das Forschungsteam des Threat-Intelligence-Unternehmens GreyNoise Research in einem E-Mail-Interview mit Dark Reading.

„Eine große Mehrheit der Fortinet-Geräte sind Edge-Geräte und daher häufig mit dem Internet verbunden“, sagte das Team. „Das gilt für alle Edge-Geräte. Wenn ein Angreifer den Aufwand einer Exploitation-Kampagne auf sich nimmt, ist die Menge an Edge-Geräten ein wertvolles Ziel.“

Die Forscher warnten auch davor, dass Fortinet wahrscheinlich nicht allein im Fadenkreuz von Angreifern ist.

„Alle Edge-Geräte aller Anbieter werden früher oder später Schwachstellen aufweisen“, sagte GreyNoise Research.

Fortinet-Angriff im Detail

Fortinet hat den Angriff auf die Geräte seiner Kunden in seinem Advisory ausführlich beschrieben. Die Angreifer hatten die Schwachstelle genutzt, um die Geräte-Firmware zu modifizieren und eine neue Firmware-Datei hinzuzufügen. Die Angreifer verschafften sich über die FortiManager-Software Zugriff auf die FortiGate-Geräte und modifizierten das Startskript der Geräte, um die Persistenz aufrechtzuerhalten.

Die bösartige Firmware könnte je nach Befehl, den die Software vom Command-and-Control-Server (C2) erhalten hat, Datenexfiltration, das Lesen und Schreiben von Dateien ermöglichen oder dem Angreifer eine Remote-Shell geben, so Fortinet. Mehr als ein halbes Dutzend anderer Dateien wurden ebenfalls modifiziert.

Bei der Analyse des Vorfalls fehlten jedoch einige wichtige Informationen, darunter unter anderem, wie die Angreifer privilegierten Zugriff auf die FortiManager-Software erlangten und das Datum des Angriffs. 

Bei Kontaktaufnahme gab das Unternehmen auf eine Interviewanfrage hin eine Erklärung ab: „Wir haben veröffentlicht ein PSIRT-Hinweis (FG-IR-22-369) Am 7. März empfahlen diese Details die nächsten Schritte in Bezug auf CVE-2022-41328“, sagte das Unternehmen. „Als Teil unseres kontinuierlichen Engagements für die Sicherheit unserer Kunden hat Fortinet zusätzliche Details und Analysen geteilt der Blogbeitrag vom 9. März und raten den Kunden weiterhin, die bereitgestellten Anweisungen zu befolgen.“

Insgesamt tut Fortinet durch das Auffinden und Offenlegen der Schwachstelle und die Veröffentlichung einer Analyse der Reaktion auf Vorfälle die richtigen Dinge, sagte das GreyNoise-Forschungsteam gegenüber Dark Reading.

„Zwei Tage später veröffentlichten sie eine detaillierte Analyse, einschließlich einer Zusammenfassung, sowie eine riesige [Anzahl] genauer Details über die Art der Schwachstelle und die Aktivität des Angreifers, die den Verteidigern umsetzbare Informationen lieferten“, erklärte das Team . „Fortinet hat sich dafür entschieden, klar, rechtzeitig und genau über diese Schwachstelle zu kommunizieren.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/cyberattackers-continue-assault-against-fortinet-devices