Kurzmeldung: Datenleak für Fortinet-VPNs

Ein Hacker hat jetzt die Zugangsdaten für fast 50.000 anfällige Fortinet-VPNs durchsickern lassen. Über das Wochenende hatte ein Hacker eine 7GB-große Liste mit Exploits für CVE-2018-13379 veröffentlicht, um VPN-Zugangsdaten von diesen Geräten zu stehlen. Auf der Liste der gefährdeten Ziele stehen IPs von Banken, Telekommunikationsunternehmen und Regierungsorganisationen aus der ganzen Welt.

Durchgesickerte Dateien enthüllen Benutzernamen, Passwörter und unmaskierte IPs

Vor über einem Jahr warnte Fortinet Kunden seiner FortiOS SSL-VPN-Geräte vor einem Upgrade auf die neueste Version des Betriebssystems, dem Zurücksetzen von Passwörtern und der obligatorischen Zwei-Faktor-Authentifizierung, um Angriffe auszuschalten, die zu einem Eindringen in das Netzwerk führen könnten.

Die Ausnutzung der kritischen FortiOS-Schwachstelle CVE-2018-13379 ermöglicht einem Angreifer den Zugriff auf die sensiblen „sslvpn_websession“-Dateien von Fortinet-VPNs. Diese Dateien enthalten sitzungsbezogene Informationen, vor allem aber können sie Klartext-Benutzernamen und -Passwörter von Fortinet VPN-Benutzern preisgeben.

Die Offenlegung von Passwörtern in diesen Dateien bedeutet, dass, selbst wenn die anfälligen Fortinet-VPNs später gepatcht werden, diese Zugangsdaten von jedem, der Zugriff auf den Speicherauszug hat, bei Credential Stuffing-Angriffen wiederverwendet werden könnten, oder um möglicherweise wieder Zugang zu diesen VPNs zu erhalten.

Fortinet hat wiederholt versucht, Kunden zu warnen

In dieser Woche teilte Fortinet mit, dass das Unternehmen seit der öffentlichen Bekanntgabe der kritischen Schwachstelle (CVE-2018-13379) im vergangenen Jahr seine Kunden wiederholt alarmiert und sie ermutigt habe, die anfälligen FortiOS-Instanzen zu patchen: „Die Sicherheit unserer Kunden hat für uns oberste Priorität. Im Mai 2019 gab Fortinet eine PSIRT-Beratung bezüglich einer SSL-Schwachstelle heraus, die behoben wurde, und hat auch direkt mit den Kunden kommuniziert und im August 2019 und Juli 2020 erneut über Blogeinträge des Unternehmens eindringlich ein Upgrade empfohlen“, sagte ein Fortinet-Sprecher. Unter anderem wurden diese auch im VINTIN-IT-Journal bekanntgemacht.

„In der letzten Woche haben wir mit allen Kunden kommuniziert und sie erneut über die Schwachstelle und die Schritte zur Schadensbegrenzung informiert. Wir können zwar nicht bestätigen, dass die Angriffsvektoren für diese Gruppe über diese Schwachstelle verliefen, aber wir fordern die Kunden weiterhin nachdrücklich auf, die Aufrüstung und die Maßnahmen zur Eindämmung der Schwachstelle durchzuführen. Um weitere Informationen zu erhalten, besuchen Sie bitte unseren aktualisierten Blog und nehmen Sie sofort Bezug auf die PSIRT-Beratung vom Mai 2019“, so Fortinet abschließend.

Unser Technologiepartner Fortinet ermahnt Netzwerkadministratoren und Sicherheitsexperten erneut, diese schwere Schwachstelle sofort zu beheben. Als Sicherheitsvorkehrung sollten Fortinet VPN-Benutzer ihre Passwörter sowohl auf den VPN-Geräten als auch auf allen anderen Websites, auf denen dieselben Zugangsdaten verwendet wurden, sofort ändern. Außerdem sollte bei Bedarf die Zwei-Faktor-Authentifizierung aktiviert werden. Falls Sie Unterstützung benötigen, so können Sie uns gerne kontaktieren. Unser Technik-Team veranlasst gerade eine Prüfung zu diesem Sachverhalt.