Um was geht’s?

  • Eine seit 2018 bekannte Sicherheitslücke bei Fortigate wurde von Hackern ausgenutzt
  • Über 45’000 Firmen, darunter über 900 aus der Schweiz sind betroffen
  • Dabei wurden Benutzername und Passwörter von VPN-Benutzern (auch Administratoren) ausgelesen

Im Notfall erreichen Sie uns über unsere Cybernotfall Nummer: +41 58 531 00 11

Bereits seit über einem Jahr ist mit CVE-2018-13379 eine Sicherheitslücke dokumentiert, welche auf Fortinet Firewalls erlaubt, die Benutzernamen und Passwörter sämtlicher VPN-Benutzer im Klartext übers Internet ohne zusätzliche Hürden auszulesen. Die Lücke betrifft sämtliche Firewalls des Herstellers Fortinet, die mit einem Softwarerelease zwischen 6.0.0 und 6.0.4 oder 5.6.3 bis 5.6.7 oder 5.4.6 bis 5.4.12 ausgestattet sind. Obwohl vom Hersteller bereits seit Mai 2019 ein Firmwarerelease zur Verfügung steht, der die Sicherheitslücke behebt, sind weltweit immer noch zehntausende von Firewalls nicht gegen diese Lücke geschützt.

Hacker stellt Liste mit über 49’000 betroffenen Firewalls ins Netz

Diesem Umstand verleiht zusätzliche Brisanz, dass nun seit dem 19.11.2020 ein aktiv genutzter Exploit (Twitter-Beitrag von @Bank_Security) für diese Sicherheitslücke verfügbar ist. Die Sicherheitslücke wird somit in der Praxis aktiv ausgenutzt. Die Person, welche die Sicherheitslücke in einem entsprechenden Forum publiziert hat, liefert zusätzlich zum Exploit eine Liste mit über 49’000 IP-Adressen weltweit, die nach wie vor höchst gefährdet sind. Das Cyber Security Team von Selution hat diese Liste einer weiteren Prüfung unterzogen und konnte in der Schweiz über 900 betroffene Firewalls ausmachen. Stichproben haben gezeigt, dass die Mehrheit dieser Firewalls auch rund sechs Tage nach der Publikation des Exploits immer noch vulnerabel für diesen Angriff sind. Betroffen sind vorrangig KMU und Kleinunternehmen.

Update vom 10.12.2020:

Inzwischen wurde bekannt, dass Hacker diese Sicherheitslücke zumindest in einem Fall in der Schweiz aktiv ausnutzen konnten. Betroffen davon ist der Tessiner Helikopterhersteller Kopter (Externer Link) . Quelle und weitere Informationen (Externer Link).

Was bedeutet das für betroffene Unternehmen?

Bei den betroffenen Firmen ist davon auszugehen, dass diese Lücke seit spätestens dem 19.11.2020 aktiv genutzt wird. Ein potenzieller Angreifer hat die Möglichkeit, sich mit dem entsprechenden Benutzername und Passwort direkt ins interne Netz zu verbinden. Es ist davon auszugehen, dass der Angreifer im Anschluss versuchen wird, mittels weiterer Methoden und Vorgehensweisen den Zugang zum angegriffenen Netz langfristig zu sichern, indem ein Angreifer weitere Systeme in seine Kontrolle bringt. Ein potenzieller Angreifer ist sich bewusst, dass die bestehende Sicherheitslücke in den meisten Fällen nun zeitnah geschlossen wird, und dass er deshalb für sich eine andere Möglichkeit etablieren muss, um weiterhin ins Netz der betroffenen Unternehmung zugreifen zu können. Sobald dies geschehen ist, wird ein Angreifer versuchen, Kapital aus dem Angriff zu schlagen. Ob dies in Form eines Crypto-Trojaners gemacht wird, oder ob er versuchen wird, sensitive Daten zu verwenden oder das Netzwerk lahmzulegen, hängt von den Zielen und der Motivation des Angreifers ab.

Was muss eine betroffene Firma jetzt tun?

Die Firewall sollte sofort vom Netz genommen werden, damit ein Upgrade auf einen aktuellen Software Release durchgeführt werden kann. Es bietet sich an, den neuesten, unterstützten Release 6.0.11 zu verwenden. Bei Firewalls, welche die neuesten Releases nicht mehr unterstützen, wird empfohlen, neue Firewall-Hardware zu evaluieren. FortiOS 5.4 befindet sich seit Juni 2020 im End of Life Status, und FortiOS 5.6 wird Mitte 2021 in den End of Life Status übergehen. In dem Fall ist der entsprechende neueste Feature-Release (5.6.13 oder 5.4.12) des kompatiblen Branch Releases zu verwenden. Nach dem Release-Upgrade muss geprüft werden, ob die bestehende Infrastruktur allenfalls in den letzten Tagen bereits kompromittiert wurde. Dazu bietet sich an, dass die entsprechenden Logdateien ausgelesen und analysiert werden. Selution AG unterstützt Sie bei der forensischen Analyse. Nehmen Sie dazu gerne mit uns Kontakt auf.

Was sollte eine betroffene Firma generell tun?

Bei einer Firewall handelt es sich nie um ein Fire-and-forget Device, das einmalig erworben und konfiguriert wird, um es nie mehr anzurühren. Damit eine Firewall als aktive und wirkungsvolle Sicherheitskomponente in Ihrem Netzwerk fungieren kann, muss eine Firewall regelmässig gewartet und gepflegt werden. Planen sie deshalb Release-Aktualisierungen als regelmässige Wartungsaufgaben mit ein. Konsultieren Sie regelmässig die Herstellerwebsite, um Informationen von neuen Releases zu erhalten. Mindestens zwei Mal jährlich sollten Firewalls überprüft werden, um aktuelle Softwarereleases einzuspielen. Damit Sie im Falle eines Incidents wirkungsvoll reagieren können, benötigen Sie ausserdem ein aktives Logmanagement, welches Ihnen die Sicht in die Vergangenheit ermöglicht. Auch hier unterstützt sie Selution AG gerne beim Betrieb und Unterhalt Ihrer Firewall. Mit unserem Firewall-as-a-Service stellen wir sicher, dass genau solche Vorfälle vermieden werden.

Schützen Sie sich vor Cyber Kriminalität – die Lage ist ernst und betrifft jedes Unternehmen. Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen weiter.

Weitere Informationen und Quellen