[English]Sicherheitsforscher sind auf eine Liste mit IP-Adressen gestoßen, die ein Hacker veröffentlichte, um VPN-Zugangsdaten von über 49.000 Fortinet-VPN-Geräten zu stehlen. Die Zugänge sind über eine längst geschlossene Schwachstelle angreifbar. Auf der Liste der anfälligen Ziele befinden sich Domains von Großbanken und Regierungsorganisationen aus aller Welt.
Die Schwachstelle CVE-2018-13379
Ungepatchte Fortinet-VPN-Geräte sind über eine seit 2018 vorhandene Schwachstelle mit einzeiligen Exploits angreifbar. Die Exploits zielen auf die „Path Traversal“-Schwachstelle CVE-2018-13379, die mit einem NVD-Score von 9.8 (von 10) eingestuft wurde. Die(„Path Traversal“-Schwachstelle tritt durch eine unsachgemäße Beschränkung eines Pfadnamens auf ein Verzeichnis in Fortinet FortiOS 6.0.0 bis 6.0.4, 5.6.3 bis 5.6.7 und 5.4.6 bis 5.4.12 auf. Sie ermöglicht es einem nicht authentifizierten Angreifer, Systemdateien über speziell gestaltete HTTP-Ressourcenanfragen über das SSL-VPN-Webportal herunterzuladen.
PacketStorm-Security hat hier was dazu geschrieben. Anfang Mai 2019 hat Fortinet dieses PSIRT Advisory dazu veröffentlicht und Updates für die betroffenen FortOS-Versionen freigegeben. Heise hat Ende Mai 2019 hier über dieses Thema berichtet. Die Schwachstelle könnte also längst gepatcht sein. Im Februar 2020 habe ich aber im Blog-Beitrag Sicherheitssplitter (21. Feb. 2020) berichtet, dass iranische Hacker Hintertüren in VPN-Servern hinterlassen. Dazu werden diverse Schwachstellen ausgenutzt, unter anderem auch Fortinet (CVE-2018-13379).
Hacker postet IP-Liste der VPNs
Obwohl die Schwachstelle längst gepatcht sein könnte, scheinen zahlreiche Fortinet VPN-Zugänge nach wie vor mit angreifbaren FortiOS-Versionen betrieben zu werden. Bleeping Computer ist nachfolgender Tweet eines Sicherheitsexperten mit dem Alias Bank_Security aufgefallen.
Warningung vor Exploit für Fortinet VPNs
Der Hacker mit dem Namen pumpedkicks hat eine Liste mit den IP-Adressen von 48.577 über die Schwachstelle CVE-2018-13379 angreifbaren Fortinet SSL VPN-Zugängen veröffentlicht. Er hat dann die Liste dieser IP-Adressen untersucht und festgestellt, dass weltweit SSL VPN-Zugänge von Regierungsbereichen aus der ganzen Welt zu den gefährdeten Zielen gehören. Aber es sind auch bekannter Banken und Finanzunternehmen darunter, die ihre Fortinet SSL VPN-Zugänge nicht gepatcht haben.
Angreifbare VPNs
Der Analyst sagte BleepingComputer, dazu:
„Dies ist eine alte, gut bekannte und leicht ausnutzbare Schwachstelle. Angreifer nutzen sie bereits seit langer Zeit. Leider patchen Unternehmen nur sehr zöglich oder langsamen haben keinen Überblick über die Schwachstellen in ihrer Infrastruktur. Sie sind sich über den Umfang der Gefährdung im Internet nicht im Klaren. Aus diesem Grund sind Angreifer in der Lage, diese Schwachstellen auszunutzen, um Unternehmen in allen Sektoren mit relativer Einfachheit zu kompromittieren“.
Wie BleepingComputer im vergangenen Monat berichtete, wurde dieselbe Schwachstelle von den Angreifern ausgenutzt, um in die Wahlhilfesysteme der US-Regierung einzubrechen. Sind die Fortinet SSL VPN-Zugänge bei euch bezüglich dieser Schwachstelle gepatcht?
Off-topic: Vodafone-Netz zusammengebrochen
Über 100.000 Meldungen bei AlleStörungen!
https://www.heise.de/news/Vodafone-Massive-Stoerung-im-Mobilfunknetz-4968505.html