FortiBleed: 86.000 Zugangsdaten von Fortinet-Geräten kompromittiert

Zusammenfassung

Eine großangelegte Kampagne zum Diebstahl von Zugangsdaten hat nach Angaben von CISA wohl mehr als 86.000 internetseitig erreichbare Firewalls und VPN-Systeme von Fortinet erfasst. Die unter dem Namen FortiBleed bekannte Operation wurde in dieser Woche öffentlich bekannt. SOCRadar hatte zunächst vor mehr als 30.000 kompromittierten Fortinet-Geräten gewarnt, die Unternehmensnetze für Angriffe öffnen könnten, und die Zahl inzwischen auf 86.000 erhöht. Das Unternehmen spricht von einer verifizierten Datenbank mit mehr als 86.644 bestätigten, funktionsfähigen Zugangsdaten aus 194 Ländern, die von internetexponierter Fortinet-Infrastruktur gesammelt wurden. Sicherheitsforscher Kevin Beaumont und Hudson Rock überprüften nach eigenen Angaben bei einigen betroffenen Organisationen, dass die Anmeldedaten gültig und vergleichsweise aktuell sind. Beaumont zufolge betrifft der Datenbestand, gemessen an Shodan-Abfragen, rund 50 Prozent aller Fortinet-Firewall-Geräte, die direkt aus dem Internet erreichbar sind. CISA reagierte darauf mit einer Warnmeldung und forderte Fortinet-Kunden auf, ihre öffentlich erreichbaren Systeme zusätzlich abzusichern.

Im Zentrum der Kampagne steht eine Datenbank aus Benutzernamen und Passwörtern, die die Angreifer laut Bericht mit automatisierten Skripten geprüft haben. Ein Teil der Zugangsdaten stammt demnach vermutlich aus früheren Sicherheitsvorfällen und wurde danach nie ausgetauscht.

SOCRadar beziffert den Bestand auf mehr als 86.644 bestätigte, funktionierende Zugangsdaten aus 194 Ländern. Sicherheitsforscher Kevin Beaumont, der gemeinsam mit Hudson Rock mit einigen betroffenen Organisationen gearbeitet hat, bestätigte, dass die Logins gültig und relativ aktuell sind. Nach seiner Einschätzung umfasst der Datensatz auf Basis von Shodan-Erhebungen ungefähr die Hälfte aller Fortinet-Firewalls, die im Internet erreichbar sind.

Laut dem Sicherheitsforscher Bob Diachenko wird die Kampagne von einem russischsprachigen Bedrohungsakteur orchestriert. Mindestens vier Organisationen seien vollständig kompromittiert worden. Diachenko zufolge fangen die Angreifer die Authentifizierung von SSL-VPNs ab, knacken Hashes auf einem Cluster mit 45 Grafikprozessoren, der über Hashtopolis verwaltet wird, und bewegen sich anschließend in interne Active-Directory-Umgebungen weiter.

Das Ausmaß der Aktivität ist erheblich. Den Schätzungen zufolge führten die Angreifer rund 1,16 Milliarden Versuche mit Zugangsdaten gegen mehr als 320.000 FortiGate-Ziele aus. Hinzu kamen 2,1 Milliarden Brute-Force-Versuche gegen über 160.000 MSSQL-Server.

Hudson Rock spricht davon, dass die Kampagne Tausende Organisationen getroffen habe, darunter große staatliche Einrichtungen und Betreiber kritischer Infrastruktur. Auch Huntress bestätigt die breite Streuung: Das Unternehmen hat die aufgelisteten IP-Adressen mit eigenen Beständen abgeglichen und dabei nach eigener Aussage 845 Partnerorganisationen identifiziert, die konkret von diesem Zugangsdaten-Datensatz betroffen sind.

CISA veröffentlichte am Donnerstag eine Warnung zu FortiBleed und rief Fortinet-Kunden zu konkreten Härtungsmaßnahmen auf. Die Behörde empfiehlt, aktive Sitzungen zu beenden und Zugangsdaten zurückzusetzen. Zudem sollen Unternehmen sicherstellen, dass Administrator-Anmeldungen mit dem Algorithmus Password-Based Key Derivation Function 2 (PBKDF2) gespeichert werden.

Darüber hinaus rät CISA dazu, Protokolle auf verdächtige Aktivitäten zu prüfen, phishing-resistente Mehrfaktor-Authentifizierung zu aktivieren und den Zugriff auf Management-Schnittstellen einzuschränken, um die Angriffsfläche zu verkleinern.

FortiBleed: 86.000 Zugangsdaten von Fortinet-Geräten kompromittiert

Ähnliche Artikel

Neueste Artikel