Hinweis: Der ursprüngliche Autor dieses Beitrages ist Kamil Mankowski. Alexander Riepl war nur an der Veröffentlichung und unterstützend an der Übersetzung beteiligt.

Am Freitag, den 10. April, veröffentlichte Fortinet Informationen über eine weltweite Kompromittierung von FortiGate-Geräten, die Angreifer:innen dauerhaften lesenden Zugriff ermöglichten. Die Angreifer:innen nutzten offenbar drei bekannte Schwachstellen in der SSL-VPN-Funktion, um sich Zugang zu den Geräten zu verschaffen, und eine Hintertür im Dateisystem zu platzieren um den illegalen Zugriff nachhaltig zu ermöglichen.

Hintergrund

FortiGate ist eine VPN-Lösung, die den Fernzugriff auf Unternehmenssysteme ermöglicht. Sie bietet als eine ihrer Optionen die Legacy-SSL-VPN-Lösung. Diese Funktion war zuvor durch die kritischen Schwachstellen CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 gefährdet. Jede dieser Sicherheitslücken ermöglichte es entfernten, nicht authentifizierten Angreifer:innen, über eine speziell gestaltete Anfrage Code auf dem Gerät auszuführen.

Angreifer:innen nutzten diese Schwachstellen, um Fortigate-Geräte zu kompromittieren und platzierten dann einen symbolischen Link in einem Ordner, der zur Bereitstellung von Sprachdateien verwendet wird. Auf diese Dateien kann ohne Authentifizierung zugegriffen werden, so dass jeder, der den Speicherort kennt, Lesezugriff auf das Dateisystem, einschließlich der vollständigen Gerätekonfiguration, erhalten kann. Die von Fortinet bereitgestellten Patches für die Schwachstelle entfernten den symbolischen Link nicht.

Die ShadowServer Foundation hat weltweit mehrere tausend gefährdete Geräte identifiziert. Unsere interne Analyse zeigt, dass in Österreich in der Spitze bis zu 840 Geräte betroffen sind, und die aktuelle Zahl ist etwas höher als die von ShadowServer für Österreich gemeldete Zahl.

Potentiell betroffene Systeme

Alle FortiGate-Geräte, physisch oder virtuell, die die SSL-VPN-Funktion aktiviert haben oder hatten und jemals für eine der genannten Schwachstellen anfällig waren (siehe betroffene FortiOS-Versionen in den Advisories - 1, 2, 3), sind potenziell gefährdet. Nach Angaben von CERT.nz könnten die Angriffe bereits im Jahr 2023 stattgefunden haben.

Obwohl die Details des Angriffs nicht veröffentlicht wurden, wurde CERT.at Anfang des Jahres von einer dritten Partei über diesen Vorfall informiert. Seither beobachten wir die Situation in Österreich genau und informieren seit Februar aktiv die Netzbetreiber.

Nach Angaben von Fortinet wurden ihre Kund:innen durch das Unternehmen kontaktiert.

Abhilfe

Wenn der Verdacht besteht, dass eines ihrer Systeme kompromittiert wurde, empfehlen wir Ihnen das betroffene System forensisch zu untersuchen und gegebenenfalls die im Rahmen Ihrer Sicherheitsrichtlinien definierten Prozesse einzuleten. Fortinet hat ebenfalls Abhilfemaßnahmen veröffentlicht, darunter:

• AV/IPS Signature welche den bösartigen Symlink entdecken - bei Geräten mit aktivem IPS
• FortiOS Versionen 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16 welche den Symlink entfernen

Fortinet hat außerdem Richtlinien zur Wiederherstellung kompromittierter Geräte veröffentlicht. Wenn Sie unsere Warnung vom Februar erhalten haben, beachten Sie bitte, dass Updates verfügbar sind, die das bösartige Artefakt entfernen.

Weitere Empfehlungen

Wir empfehlen Administrator:innen dringend sicherzustellen, dass ihre Firmware auf dem neuesten Stand ist. Für Unternehmen, die SSL VPN verwenden, empfehlen wir, eine Migration zu alternativen Fernzugriffsmethoden in Betracht zu ziehen, da es in der Vergangenheit immer wieder zu Sicherheitsproblemen kam. Fortinet bietet je nach Anwendungsfall Migrationsleitfäden zu IPSec oder Dial-up VPN an.