Hacker kompromittieren 73.000 Fortinet-Firewalls in globaler Kampagne zum Diebstahl von Anmeldedaten
Eine groß angelegte Cyberkriminalitätskampagne hat weltweit mehr als 73.000 Fortinet-Firewall- und VPN-Geräte kompromittiert, mit bestätigten Opfern aus einigen der größten Unternehmen der Welt. Die Operation, die Forscher als „FortiBleed" bezeichnet haben, nutzte automatisierte Scantools, um exponierte Fortinet-Geräte zu identifizieren, und nutzte dann bereits bekannte Zugangsdaten – keine neuen Schwachstellen – um sich Zugang zu verschaffen.
Wie der Angriff funktionierte
Statt auf Zero-Day-Exploits zu setzen, bauten die Angreifer eine sich selbst verstärkende Schleife auf: Automatisierte Scanner durchsuchten das Internet nach exponierten Fortinet-Geräten, probierten bekannte geleakte Passwörter aus, um einzudringen, und nutzten dann ihren Zugang, um frische Zugangsdaten aus jedem Netzwerk zu sammeln. Diese neu gesammelten Zugangsdaten wurden wieder in die Scanoperation eingespeist, um weitere Ziele zu kompromittieren und die Reichweite der Kampagne im Laufe der Zeit zu vergrößern.
Das Sicherheitsforschungsunternehmen Hudson Rock identifizierte mehr als 73.000 eindeutige kompromittierte Fortinet-URLs, während SOCRadar unabhängig mehr als 30.000 gehackte Geräte bestätigte – was darauf hindeutet, dass das tatsächliche Ausmaß irgendwo zwischen diesen Schätzungen liegt oder dass beide Forscher sich teilweise überschneidende Datensätze aus unterschiedlichen Quellen betrachten.
Wer betroffen war
Die am stärksten betroffenen Länder sind Indien, die USA, Taiwan und Mexiko. Am stärksten betroffene Branchen sind IT-Dienstleistungen, Telekommunikation, Baustoffe und Regierungsbehörden. Zu den bestätigten Opfern gehören Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens und PwC – ein Querschnitt großer globaler Unternehmen, die für die Perimetersicherheit ihrer Netzwerke auf Fortinet-Produkte angewiesen sind.
Die Angreifer erlangten Zugang zu Zugangsdaten und konnten den Verkehr überwachen, der durch die kompromittierten Geräte lief, was ihnen einen dauerhaften Fuß in den betroffenen Unternehmensnetzwerken verschaffte.
Fortinets Reaktion
Fortinet spielte die Schwere der Kampagne herunter. Ein Unternehmenssprecher sagte gegenüber TechCrunch, das Unternehmen sei „sich einer gemeldeten Drittanbieter-Kampagne zur Erfassung von Zugangsdaten bewusst", charakterisierte den Vorfall jedoch als „eine erneute Weitergabe von Daten aus früheren Vorfällen sowie das Erbrechen von Zugangsdaten" und fügte hinzu, dass er „nicht mit einem aktuellen Vorfall oder einer aktuellen Warnung zusammenhänge". Das Unternehmen ging weder auf das Ausmaß der bestätigten Unternehmensopfer noch auf die Verstärkungstechnik der Zugangsdatenschleife ein.
Was das für die Unternehmenssicherheit bedeutet
Die Fortinet-Kampagne unterstreicht einen anhaltenden blinden Fleck in der Unternehmenssicherheit: Perimeter-Geräte – Firewalls, VPNs und Netzwerkgeräte – sind oft die am wenigsten gepatchten Systeme in einer Organisation. Sie sitzen am Netzwerkrand, dem Internet ausgesetzt, doch viele Organisationen wechseln die Zugangsdaten nicht regelmäßig oder überwachen speziell diese Geräte auf unbefugten Zugriff. Wenn ein Angreifer eine Firewall kompromittiert, erhält er eine privilegierte Beobachtungsposition, um den gesamten Datenverkehr zu sehen, der durch das Netzwerk fließt, einschließlich Authentifizierungssitzungen und sensibler Daten.
Sicherheitsteams sollten alle Fortinet-Geräte auf Anzeichen unbefugten Zugriffs überprüfen, Zugangsdaten auf potenziell exponierten Geräten rotieren und nach Möglichkeit die Multi-Faktor-Authentifizierung für den VPN-Zugriff aktivieren. Der Vorfall wurde ursprünglich von Lorenzo Franceschi-Bicchierai bei TechCrunch gemeldet.
Originally reported by TechCrunch. Read the original article for additional details.
View original source