Durch die Ausnutzung einer Schwachstelle in FortiOS (einem Betriebssystem welches vor allem auf Fortigate SSL VPN Produkten der Firma Fortinet zum Einsatz kommt) haben es Angreifer in jüngster Vergangenheit geschafft Schadsoftware mit dem Namen “Cring” in Opfernetzwerke einzuschleusen um hierüber schlimmstenfalls ganze Systeme unzugänglich zu machen. Betroffen scheinen vor allem westliche Industrieunternehmen. Erfahren Sie wie der Angriff aussieht und was Sie vorbeugend tun können.
Was ist passiert?
Vergangene Woche berichteten Sicherheitsforscher des Softwareunternehmens Kaspersky über die Entdeckung einer neuen Ransomware. Dabei handelt es sich um ein Programm, das Dateien oder ganze Systeme verschlüsselt, im Anschluss wird vom Nutzer ein Lösegeld gefordert, damit diese wieder freigegeben werden. Die neu entdeckte Software setzen Cyberkriminelle unter anderem unter Ausnutzung von ungepatchten „Fortigate SSL VPN“-Produkten ein – also über Geräte ohne aktuelle Sicherheits-Updates. Die Forscher stellten fest, dass vor allem Industrieunternehmen in europäischen Ländern Ziele dieser Angriffe sind. Die Schadsoftware wurde „Cring ransomware“ genannt. Die erste Entdeckung der zur Verteilung der Schadsoftware genutzten Schwachstelle, die mit der Nummer CVE-2018-13379 versehen wurde, erfolgte bereits im Jahr 2018. Seither wurden Fortinet-Geräte mehrfach angegriffen. Die anfangs beschriebene Kombination aus der bereits seit 2018 bekannten Schwachstelle im Zusammenhang mit der neuen Schadsoftware “Cring ist eine neu entdeckte Bedrohung, die aufgrund ihrer schwerwiegenden Folgen nicht ignoriert werden sollte.
Welche Risiken bestehen für mein Unternehmen?
Im Erfolgsfall kann dieser Angriff aus der Ferne dazu führen, dass Dateien und Computer verschlüsselt werden und somit nicht mehr nutzbar sind. Vor allem können aber auch Server, die zur Steuerung des industriellen Prozesses verwendet werden (zum Beispiel zur Fertigung von Waren), verschlüsselt werden – infolgedessen würde auch der Prozess stillgelegt.
Wie funktioniert der Angriff im Detail?
Der gesamte Angriff ist mehrstufig und komplex. Den ersten Zugang erhalten die Täter über ungeschlossene Schwachstellen und somit verwundbarer Fortinet-VPN-Geräte. Diese ermöglicht es nicht direkt, die FortiOS-Geräte selbst zu kompromittieren. Aber Sie versetzt die Angreifer in die Lage, sämtliche Benutzernamen- und Passwort-Kombinationen aller VPN-Benutzer (die sich zumindest einmal am Gerät authentifiziert haben) zu erhalten – wenn der VPN-Endpunkt des Geräts so konfiguriert ist, dass er VPN-Dienste für das Unternehmen bereitstellt.
Wenn der Angreifer Zugriff auf diese Informationen erhält, kann er die VPN-Zugangsdaten eines Mitarbeiters der Firma verwenden, um in das interne Netzwerk zu gelangen, das über den VPN-Tunnel zugänglich gemacht wird. In erster Linie bedeutet das nicht, dass ein Krimineller jedes System im Netzwerk lediglich unter Ausnutzung dieser einen Schwachstelle kompromittieren kann. Aber er erlangt einen besseren Einblick in das Netzwerk. Auf diesem Weg ist es möglich, andere Angriffe zu starten. Ist das Opfer nachlässig, sind die VPN-Konten an die Domain-Konten gebunden (so im Beispiel von Kaspersky). Dies ermöglicht es unter Umständen, sich auf einem Rechner mit Fernzugriff anzumelden und das Netzwerk von dort aus infizieren.
Was kann ich tun?
Wir empfehlen Ihnen mehrschrittig vorzugehen:
Schritt 1
Überprüfen Sie, ob Sie beziehungsweise Ihr Unternehmen Fortigate SSL VPN Produkte verwenden. Da die Geräte gekauft oder angemietet werden müssen, sollte dies über die IT-Verwaltung oder notfalls über die Buchhaltung zu recherchieren sein.
Schritt 2
Wenn ja, prüfen Sie, welche Version Sie haben. Folgende Versionen sind verwundbar:
FortiOS 6.0 – 6.0.0 bis 6.0.4
FortiOS 5.6 – 5.6.3 to 5.6.7
FortiOS 5.4 – 5.4.6 bis 5.4.12
Schritt 3
Aktualisieren Sie die Software des Geräts auf die neueste Version. Denken Sie daran, die Systeme immer auf dem neuesten Stand zu halten, auch wenn Ihre Geräte nicht in der obigen Liste der verwundbaren Geräte aufgeführt sind.
Schritt 4
Aktualisieren Sie Ihre Sicherheitssoftware auf die neuesten Versionen und halten Sie diese immer auf dem neuesten Stand. Stellen Sie außerdem sicher, dass alle Module Ihrer Sicherheits-Lösungen immer aktiviert sind.
Schritt 5
Überprüfen Sie die Sicherheitsrichtlinien in Ihrem Unternehmen und stellen Sie sicher, dass sich die Benutzer nur an den Systemen anmelden dürfen, die für ihre betrieblichen Anforderungen erforderlich sind.
Schritt 6
Schränken Sie den VPN-Zugang zwischen verschiedenen Standorten ein, schließen Sie alle Ports, die nicht für betriebliche Zwecke benötigt werden.
Schritt 7
Stellen Sie sicher, dass Sie mindestens drei regelmäßig aktualisierte Sicherungskopien Ihrer kritischen Systeme haben, die es Ihnen ermöglichen würden, Ihren Betrieb im Falle eines unvorhergesehenen Angriffs wiederherzustellen.
Wenn Sie Fragen haben oder vermuten, dass Sie angegriffen wurden, zögern Sie nicht, uns zu kontaktieren.