Fortinet berichtet \u00fcber eine aktuelle Variante, mit der sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. IT-Forscher haben derweil mehr als 14.000 kompromittierte Fortinet-Firewalls weltweit aufgesp\u00fcrt.<\/p>\n
In einem Blog-Beitrag er\u00f6rtert Fortinet<\/a>, dass Angreifer bekannte Sicherheitsl\u00fccken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht haben. Die konkret untersuchten F\u00e4lle betrafen Sicherheitsl\u00fccken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3<\/strong>, Risiko „kritisch<\/strong>„), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2<\/strong>, Risiko „kritisch<\/strong>„) sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6<\/strong>, Risiko „kritisch<\/strong>„).<\/p>\n Fortinet-Kompromittierung: Persistenz mit Symlinks<\/p>\n Solche Angriffe sind nicht ungew\u00f6hnlich. Was f\u00fcr die Fortinet-Analysten neu war, ist, wie sich die Angreifer eingenistet haben. Sie haben auf erfolgreich attackierten FortiGate-Ger\u00e4ten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner f\u00fcr Sprachdateien des SSL-VPNs erstellt. Der Symlink wurde im User-Dateisystem erstellt und versuchte so, der Entdeckung zu entgehen. Selbst nach dem Anwenden von Aktualisierungen zum Schlie\u00dfen der angegriffenen Schwachstelle konnte der Symlink erhalten bleiben und den Angreifern lesenden Zugriff auf das Dateisystem \u2013 einschlie\u00dflich der Konfiguration \u2013 erm\u00f6glichen. Wenn das SSL-VPN nie aktiviert war, ist dieser Angriff jedoch nicht m\u00f6glich, erkl\u00e4rt Fortinet.<\/p>\n Fortinet hat eine Signatur erstellt, die diese Symlinks entfernen soll, au\u00dferdem soll auch die SSL-VPN-Software angepasst worden sein, sie auszufiltern. Kunden, die als davon betroffen erkannt wurden, hat Fortinet zudem dar\u00fcber informiert. Die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sowie 6.4.16 korrigiert das Problem auf jeweils angepasste Weise. Zudem sollen IT-Verantwortliche die Konfiguration der Ger\u00e4te \u00fcberpr\u00fcfen.<\/p>\n Auf X hat die Shadowserver Foundation zudem tausende aktuell kompromittierte Fortinet-Ger\u00e4te gemeldet. Die meisten betroffenen Maschinen stehen in den USA (1.500), Deutschland war am vergangenen Freitag mit 233 unterwanderten Fortinet-Ger\u00e4ten auf Platz 18 der Liste zu finden. Am Montag waren rund 14.600 Fortinet-Systeme weltweit kompromittiert, zeigt die aktuelle Statistik von Shadowserver<\/a>.<\/p>\n