Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. Threat
  5. Bedrohungsakteure nutzen einen 0-Day in ungeschützten Management Konsolen von Fortinet FortiGate Firewalls aus

Bedrohungsakteure nutzen einen 0-Day in ungeschützten Management Konsolen von Fortinet FortiGate Firewalls aus

CERT

Share

Zusammenfassung

Die Schwachstelle wird als FG-IR-535 oder CVE-2024-55591 geführt und betrifft die Firewall-Management-Konsolen von Fortinet. Betroffene Versionen sind:

  • FortiOS 7.0 bis 7.0.16
  • FortiProxy 7.0.0 bis 7.0.19
  • FortiProxy 7.2.0 bis 7.2.12

Zum Zeitpunkt der Veröffentlichung ist kein öffentlicher Proof of Concept (PoC) verfügbar.

Arctic Wolfbeschreibt eine Kampagne, die auf FortiGate-Firewalls mit offenen Management Interfaces abzielt. Die Angreifer nutzten eine 0-day-Schwachstelle aus, um neue Administratorkonten zu erstellen und SSL-VPN-Verbindungen zu konfigurieren und so Super-Admin-Zugriff zu erlangen. Link für unseren Vulnerability Intelligence Feed (MVI-watch) Kunden hier).

Diese Aktivitäten begannenMitte November 2024, was durch die umfangreiche Nutzung der „jsconsole“-Schnittstelle von ungewöhnlichen IP-Adressen aus belegt wird. Die Angreifer erstellten Administratorkonten und richteten SSL-VPN-Tunnel ein.

Unternehmen sollten die neuesten, von Fortinet veröffentlichten Patches anwenden.

Was Sie jetzt tun sollten

Fortinet veröffentlicht am 14. Januar 2025 Updates für die betroffenen Produkte. Bitte aktualisieren Sie auf:

  • FortiOS 7.0.17 oder eine neuere Version
  • FortiProxy 7.2.13 / FortiProxy 7.0.20 oder neuere Versionen

Wir empfehlen Unternehmen, den öffentlichen Zugriff auf die Firewall-Management Interfaces sofort zu deaktivieren, indem sie die IP-Adressen, die das HTTP/HTTPS-Administration Interface erreichen können, über eine lokale Richtlinie einschränken, um den Zugriff nur auf eine vordefinierte Gruppe auf dem Management Interface zu beschränken (z. B. Port 1).

Es wird auch empfohlen, nach verdächtigen neuen oder aktualisierten Konten von Mitte November zu suchen und zu überprüfen, ob Ihre Geräte aus unbekannten Gründen offene Ports haben (insbesondere 4433, 59449 und 59450).

Möglicherweise hat der Hersteller eine IPS-Regel bereitgestellt, die jedoch manuell konfiguriert werden muss.

Das Orange Cyberdefense CERT verfolgt die Entwicklungen in Bezug auf diese Sicherheitslücke und veröffentlicht World Watch Advisories, sobald neue relevante Informationen zu diesem Thema verfügbar sind. World Watch-Abonnenten finden weitere Details zu diesem Thema hier. Weitere Informationen dazu, wie Sie diesen Dienst abonnieren können, finden Sie hier.  

Die Datalake-Plattform von Orange Cyberdefense bietet Zugang zu Indikatoren für Sicherheitslücken (Indicators of Compromise, IoCs) im Zusammenhang mit dieser Bedrohung, die automatisch in unsere Managed Threat Detection Services eingespeist werden. Dies ermöglicht eine proaktive Suche nach IoCs, wenn Sie unseren Managed Threat Detection Service nutzen, der Threat Hunting beinhaltet. Wenn Sie möchten, dass wir diese IoCs bei Ihrer nächsten Suche vorrangig behandeln, stellen Sie bitte eine Anfrage über Ihr MTD-Kundenportal oder kontaktieren Sie Ihren Ansprechpartner.

Der MTI [protect] Service von Orange Cyberdefense bietet die Möglichkeit, netzwerkbezogene IoCs automatisch in Ihre Sicherheitslösungen einzuspeisen. Um mehr über diesen Service zu erfahren und um herauszufinden, welche Firewall-, Proxy- und andere Herstellerlösungen unterstützt werden, wenden Sie sich bitte an Ihren Orange Cyberdefense Trusted Solutions Vertreter.

Wenden Sie sich bitte an Orange Cyberdefense CERT, wenn Sie eine potenzielle Gefährdung vermuten oder wenn Sie in dieser Angelegenheit Fachwissen zur Abhilfe benötigen. 

Zusätzliche Informationen

Arctic Wolf Labs hat einen kürzlich erfolgten Angriff auf Fortinet FortiGate-Geräte analysiert und dabei ausgeklügelte, hartnäckige Taktiken entdeckt. Die 0-Day-Schwachstelle wird von Fortinet nicht bekannt gegeben und hat keine CVE-Nummer. Arctic Wolf warnt, dass die Schwachstelle keine offensichtlichen Spuren in Standard-Sicherheitsprotokollen hinterlässt, was eine sofortige Entdeckung erschwert. 

Die Kampagne beginnt damit, dass die Angreifer automatisierte Scanner einsetzen, um FortiGate-Geräte online zu finden. Sie nutzen eine unbekannte 0-Day-Schwachstelle aus, um die Authentifizierung zu umgehen und Super-Admin-Zugang zu erhalten. Mit diesem Zugang können sie verschiedene bösartige Aktionen durchführen. Arctic Wolf hat beobachtet, dass Angreifer versteckte Administratorkonten erstellen, die legitimen Konten ähneln und so die Erkennung erschweren. Diese Konten geben den Angreifern die volle Kontrolle über das Gerät und ermöglichen Konfigurationsänderungen, die Deaktivierung von Sicherheitsfunktionen und das Einrichten von Hintertüren für zukünftige Zugriffe. 

Die Angreifer nutzten SSL-VPN-Verbindungen, um ihren Datenverkehr zu verschleiern und sich als Benutzer auszugeben, so dass sie Daten exfiltrieren, Malware verteilen und unbemerkt auf andere Netzwerkbereiche zugreifen konnten. Arctic Wolf berichtet, dass diese Angreifer häufig die VPN-Portale wie 4433, 59449 und 59450 zwischen den Sitzungen wechselten. Der verschlüsselte Datenverkehr über diese VPNs erschwert die Entdeckung bösartiger Aktivitäten. 

Arctic Wolf zeigt auf, dass Angreifer die Geräteeinstellungen ändern, um eine Entdeckung zu vermeiden und länger in kompromittierten Netzwerken zu bleiben. Sie manipulieren Protokolle, ändern Konfigurationen, um Updates zu blockieren, und erstellen geplante Aufgaben, um Hintertüren wieder zu öffnen, wenn sie entfernt werden.

Mehr als nur Vulnerability Management 

Der neueste Security Navigator 2025 von Orange Cyberdefense unterstreicht die wachsenden Risiken, die mit ungepatchten Schwachstellen verbunden sind, und macht deutlich, dass Unternehmen einen proaktiven Ansatz für das Schwachstellenmanagement verfolgen müssen. 

Orange Cyberdefense untersuchte über 32.000 verschiedene CVEs in Kundenumgebungen und stellte fest, dass Verzögerungen beim Patchen ein erhebliches Risiko für die Ausnutzung von Schwachstellen darstellen. VPNs und ähnliche Technologien sind besonders gefährdet, da sie aufgrund ihrer Exponiertheit und ihrer kritischen Rolle bei der Absicherung von Unternehmensnetzwerken häufig zu einem bevorzugten Ziel für Angreifer werden. 

Um diesen Risiken zu begegnen, plädiert Orange Cyberdefense für einen bedrohungsorientierten Ansatz, der Folgendes umfasst: 

  • Priorisierung mit fortschrittlichen Tools: Nutzung von Systemen wie dem Exploit Prediction Scoring System (EPSS), um sich auf die Schwachstellen zu konzentrieren, die am wahrscheinlichsten ausgenutzt werden, einschließlich Zero-Days mit hohem Schweregrad. 
  • Zusammenarbeit mit Anbietern: Proaktive Zusammenarbeit mit Anbietern, um die Verfügbarkeit und Implementierung von Patches zu beschleunigen.
  • Ganzheitliches Schwachstellenmanagement: Der Übergang von reaktivem Patching zu einer proaktiven Strategie, die kontinuierliche Überwachung, rechtzeitige Bereitstellung von Patches und die Beseitigung der Ursachen für systemische Schwachstellen umfasst.

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.