Zero-Day-Sicherheitsanfälligkeit zielt auf Fortinet FortiGate-Firewalls ab

Das Cybersecurity-Unternehmen Arctic Wolf gab am Freitag bekannt, dass Bedrohungsakteure kürzlich Fortinet FortiGate-Firewall-Geräte mit auf dem öffentlichen Internet exponierten Verwaltungsoberflächen in einer mutmaßlichen Zero-Day-Kampagne ins Visier genommen haben.

Laut den Forschern von Arctic Wolf Labs begann die böswillige Aktivität gegen Fortinet-Firewalls Mitte November 2024. Unbekannte Bedrohungsakteure änderten die Firewall-Konfigurationen, indem sie auf die Verwaltungsoberflächen der betroffenen Firewalls zugriffen und Anmeldeinformationen mithilfe von DCSync in kompromittierten Umgebungen extrahierten.

„Die Kampagne umfasste unbefugte administrative Anmeldungen auf den Verwaltungsoberflächen der Firewalls, die Erstellung neuer Konten, die SSL-VPN-Authentifizierung über diese Konten und verschiedene andere Konfigurationsänderungen“, schrieben Sicherheitsforscher von Arctic Wolf in einem Blogbeitrag, der letzte Woche veröffentlicht wurde.

Während der ursprüngliche Zugriffsvektor, der in dieser Kampagne verwendet wurde, derzeit unbekannt bleibt, ist Arctic Wolf Labs sehr zuversichtlich, dass eine „Massenexploitationskampagne“ einer Zero-Day-Sicherheitsanfälligkeit wahrscheinlich ist, angesichts der engen Zeitrahmen in den betroffenen Organisationen und der Vielzahl betroffener Firmware-Versionen.

Die Firmware-Versionen, die hauptsächlich betroffen waren, reichen von 7.0.14 bis 7.0.16, die im Februar 2024 bzw. Oktober 2024 veröffentlicht wurden.

Arctic Wolf Labs hat derzeit vier separate Angriffsphasen der Kampagne identifiziert, die zwischen November 2024 und Dezember 2024 auf anfällige FortiGate-Geräte abzielten:

Phase 1: Schwachstellenscanning (16. November 2024 bis 23. November 2024)

Phase 2: Aufklärung (22. November 2024 bis 27. November 2024)

Phase 3: SSL-VPN-Konfiguration (4. Dezember 2024 bis 7. Dezember 2024)

Phase 4: Laterale Bewegung (16. Dezember 2024 bis 27. Dezember 2024)

In der ersten Phase führten die Bedrohungsakteure Schwachstellenscans durch und nutzten jsconsole-Sitzungen mit Verbindungen zu und von ungewöhnlichen IP-Adressen, wie z. B. Loopback-Adressen (z. B. 127.0.0.1) und beliebten DNS-Resolvern, einschließlich Google Public DNS und Cloudflare, was sie zu einem idealen Ziel für Bedrohungssuche machte.

In der Aufklärungsphase führten die Angreifer die ersten unbefugten Konfigurationsänderungen in mehreren Opferorganisationen durch, um zu überprüfen, ob sie erfolgreich Zugriff erhalten hatten, um Änderungen an den kompromittierten Firewalls vorzunehmen.

Während der dritten Phase der Kampagne nahmen die Bedrohungsakteure erhebliche Änderungen an den kompromittierten Geräten vor, um SSL-VPN-Zugriff zu ermöglichen.

In einigen Eindringungen erstellten sie neue Super-Admin-Konten, während sie in anderen bestehende Konten übernahmen, um SSL-VPN-Zugriff zu erhalten. Bedrohungsakteure erstellten auch neue SSL-VPN-Portale, in die die Benutzerkonten direkt hinzugefügt wurden.

In der letzten Phase, nachdem sie erfolgreich SSL-VPN-Zugriff innerhalb der Umgebung der Opferorganisation erlangt hatten, verwendeten die Bedrohungsakteure die DCSync-Technik, um Anmeldeinformationen für die laterale Bewegung zu extrahieren.

Laut dem Cybersecurity-Unternehmen wurden die Bedrohungsakteure von den betroffenen Systemen entfernt, bevor sie fortfahren konnten.

Artic Wolf Labs informierte Fortinet am 12. Dezember 2024 über die in dieser Kampagne beobachtete Aktivität. FortiGuard Labs PSIRT bestätigte am 17. Dezember 2024, dass es sich der bekannten Aktivität bewusst ist und aktiv das Problem untersucht.

Um sich gegen solche bekannten Sicherheitsprobleme abzusichern, empfiehlt Artic Wolf Labs, dass Organisationen sofort den Zugriff auf die Firewall-Verwaltung über öffentliche Schnittstellen deaktivieren und den Zugriff auf vertrauenswürdige Benutzer beschränken.

Es wird auch empfohlen, die Firmware auf Firewall-Geräten regelmäßig auf die neueste Version zu aktualisieren, um sich gegen bekannte Sicherheitsanfälligkeiten zu schützen.