FortiBleed: Kampagne kompromittiert mehr als 30.000 Fortinet-Geräte mit gestohlenen Zugangsdaten

Zusammenfassung

Eine groß angelegte Kampagne zum Abgreifen und Wiederverwenden von Zugangsdaten greift laut SOCRadar aktiv Fortinet-Firewalls und VPN-Gateways an und hat bereits mehr als 30.000 internetseitig erreichbare Geräte in nahezu 200 Ländern kompromittiert. Erstmals Hinweise auf das Vorgehen entdeckte der Sicherheitsberater Volodymyr Diachenko; SOCRadar rekonstruierte die Operation später über einen offen erreichbaren Server der Angreifer. Nach Angaben des Unternehmens eröffnete dieser Einblick in Werkzeuge, Opferdatenbank, Automatisierungsinfrastruktur und ein Repository mit verifizierten Zugangsdaten. In der Datenbank fanden die Forscher Anmeldedaten für mehr als 30.791 Geräte von Unternehmen und Behörden in 194 Ländern. SOCRadar betont dabei ausdrücklich, keine Hinweise auf ausgenutzte Fortinet-Schwachstellen gefunden zu haben: Es handle sich um eine Kampagne zur Kompromittierung von Zugangsdaten, nicht um die Ausnutzung einer Produktlücke. Die laufende Bedrohung stuft das Unternehmen dennoch als kritisch ein, weil Fortinet-Firewalls und VPN-Gateways weltweit weit verbreitet sind und als Zugangspunkt in Netzwerke dienen können.

SOCRadar bezeichnet die Kampagne als „FortiBleed“. Auslöser der Analyse war ein offen zugänglicher Betriebsserver der Angreifer, über den die Forscher nach eigenen Angaben Einblick in deren Infrastruktur erhielten. Dem am Dienstag veröffentlichten Bericht zufolge enthält die Datenbank der Gruppe Anmeldedaten für mehr als 30.791 Geräte. Dabei handele es sich nicht um bloße Vermutungen, sondern um funktionierende Benutzernamen und Passwörter, die von den Angreifern selbst automatisiert getestet und bestätigt wurden.

Nach Darstellung von SOCRadar basiert die Operation nicht auf einer ausgenutzten Fortinet-Sicherheitslücke. Waseem Ahmed, Leiter Engineering bei Secure.com, sagte gegenüber Dark Reading, das Auffälligste an dem Vorfall sei gerade das Fehlende: kein Zero-Day, kein Exploit, kein tatsächliches „Bleed“. Vielmehr handele es sich trotz des Namens nicht um eine Schwachstelle, sondern um Zugangsdaten aus früheren Fortinet-Vorfällen, die nun gegen Organisationen eingesetzt würden, die diese Kennwörter nie geändert hätten.

Die Analyse von SOCRadar zeigt, dass die kompromittierten Firewalls und VPNs häufig bereits Schwächen in der angegriffenen Netzwerkumgebung aufwiesen. Laut den Forschern handelte es sich oft um generische Administratorkonten, voreingestellte oder eingebaute Fortinet-Systemkonten oder um langlebige Konten mit Passwörtern, die nach früheren Sicherheitsvorfällen nie rotiert worden waren.

Bislang umfassen die kompromittierten Systeme nach Angaben der Forscher 21.108 eindeutige IP-Adressen und 8.316 eindeutige Domains in den Bereichen Regierung, Telekommunikation, Gesundheitswesen, Bildung, Finanzdienstleistungen und kritische Infrastruktur. Allein auf den Telekommunikationssektor entfallen demnach mehr als 5.600 kompromittierte Geräte; bei Regierungsorganisationen nennt SOCRadar 591 Systeme über 111 Domains. Unternehmen mit mehr als 1 Milliarde US-Dollar Jahresumsatz machen laut Bericht mehr als 20 Prozent der betroffenen Geräte aus. Indien und die USA stehen demnach für fast ein Drittel aller identifizierten Kompromittierungen von Zugangsdaten.

Technisch beruht die Kampagne auf einer vollständig automatisierten Angriffskette. Die Angreifer scannen das Internet nach Fortinet-Geräten und setzen dann Credential Reuse, Credential Stuffing und Password Spraying gegen exponierte Fortinet-Management- und VPN-Schnittstellen ein. Dabei verwenden sie laut SOCRadar bereits früher geleakte Fortinet-Zugangsdaten und prüfen erfolgreiche Anmeldungen fortlaufend über ihre automatisierte Scan-Infrastruktur.

Ist ein Gerät kompromittiert, nutzen die Angreifer es dem Bericht zufolge als Horchposten: Sie überwachen den durchlaufenden Datenverkehr und sammeln weitere Zugangsdaten, die dabei anfallen. Diese frisch erbeuteten Passwörter speisen sie anschließend wieder in ihre Scanner ein, um weitere Geräte zu kompromittieren. „Das System versorgt sich selbst“, heißt es in dem Bericht.

SOCRadar sieht technische Hinweise auf russischsprachige Bedrohungsakteure. Zudem sei die Auswahl der Opfer „stark auf Organisationen in NATO-Mitgliedstaaten ausgerichtet“. Nach Einschätzung des Unternehmens deutet das nicht nur auf ein finanzielles Interesse hin, sondern auch auf mögliche Cyberspionage: Unter den geborgenen Daten befanden sich demnach Zugangsdaten zu einem offenbar dem Verteidigungssektor zuzuordnenden VPN-Endpunkt.

Für betroffene Organisationen fordert SOCRadar eine sofortige Reaktion. Unternehmen, die Fortinet-Firewalls oder VPN-Produkte einsetzen und in dem Datensatz auftauchen, sollten ihren Netzwerkrand so behandeln, als sei er bereits kompromittiert. Empfohlen werden die umgehende Rotation aller Administrations- und VPN-Zugangsdaten, die Aktivierung von Multifaktor-Authentifizierung für alle Konten mit Fernzugriff und administrativen Rechten, die Prüfung von Authentifizierungs- und VPN-Protokollen auf verdächtige Zugriffe, das Entfernen von Management-Schnittstellen aus dem öffentlichen Internet, soweit möglich, sowie die Aktualisierung auf alle aktuellen Firmware-Versionen. Wird eine Kompromittierung festgestellt oder vermutet, soll eine entsprechende Incident-Response-Untersuchung folgen.

FortiBleed: Kampagne kompromittiert mehr als 30.000 Fortinet-Geräte mit gestohlenen Zugangsdaten

Ähnliche Artikel

Neueste Artikel