Ungeschlossene Fortinet-VPN-Schwachstelle ermöglicht Verschlüsselungs-Angriff

Gefahrenwarnung

Durch die Ausnutzung einer Schwachstelle in FortiOS (einem Betriebssystem welches vor allem auf Fortigate SSL VPN Produkten der Firma Fortinet zum Einsatz kommt) haben es Angreifer in jüngster Vergangenheit geschafft Schadsoftware mit dem Namen “Cring” in Opfernetzwerke einzuschleusen um hierüber schlimmstenfalls ganze Systeme unzugänglich zu machen. Betroffen scheinen vor allem westliche Industrieunternehmen. Erfahren Sie wie der Angriff aussieht und was Sie vorbeugend tun können.

Was ist passiert?

Vergangene Woche berichteten Sicherheitsforscher des Softwareunternehmens Kaspersky über die Entdeckung einer neuen Ransomware. Dabei handelt es sich um ein Programm, das Dateien oder ganze Systeme verschlüsselt, im Anschluss wird vom Nutzer ein Lösegeld gefordert, damit diese wieder freigegeben werden. Die neu entdeckte Software setzen Cyberkriminelle unter anderem unter Ausnutzung von ungepatchten „Fortigate SSL VPN“-Produkten ein – also über Geräte ohne aktuelle Sicherheits-Updates. Die Forscher stellten fest, dass vor allem Industrieunternehmen in europäischen Ländern Ziele dieser Angriffe sind. Die Schadsoftware wurde „Cring ransomware“ genannt. Die erste Entdeckung der zur Verteilung der Schadsoftware genutzten Schwachstelle, die mit der Nummer CVE-2018-13379 versehen wurde, erfolgte bereits im Jahr 2018. Seither wurden Fortinet-Geräte mehrfach angegriffen. Die anfangs beschriebene Kombination aus der bereits seit 2018 bekannten Schwachstelle im Zusammenhang mit der neuen Schadsoftware “Cring ist eine neu entdeckte Bedrohung, die aufgrund ihrer schwerwiegenden Folgen nicht ignoriert werden sollte.

Welche Risiken bestehen für mein Unternehmen?

Im Erfolgsfall kann dieser Angriff aus der Ferne dazu führen, dass Dateien und Computer verschlüsselt werden und somit nicht mehr nutzbar sind. Vor allem können aber auch Server, die zur Steuerung des industriellen Prozesses verwendet werden (zum Beispiel zur Fertigung von Waren), verschlüsselt werden – infolgedessen würde auch der Prozess stillgelegt.

Wie funktioniert der Angriff im Detail?

Der gesamte Angriff ist mehrstufig und komplex. Den ersten Zugang erhalten die Täter über ungeschlossene Schwachstellen und somit verwundbarer Fortinet-VPN-Geräte. Diese ermöglicht es nicht direkt, die FortiOS-Geräte selbst zu kompromittieren. Aber Sie versetzt die Angreifer in die Lage, sämtliche Benutzernamen- und Passwort-Kombinationen aller VPN-Benutzer (die sich zumindest einmal am Gerät authentifiziert haben) zu erhalten – wenn der VPN-Endpunkt des Geräts so konfiguriert ist, dass er VPN-Dienste für das Unternehmen bereitstellt.

Wenn der Angreifer Zugriff auf diese Informationen erhält, kann er die VPN-Zugangsdaten eines Mitarbeiters der Firma verwenden, um in das interne Netzwerk zu gelangen, das über den VPN-Tunnel zugänglich gemacht wird. In erster Linie bedeutet das nicht, dass ein Krimineller jedes System im Netzwerk lediglich unter Ausnutzung dieser einen Schwachstelle kompromittieren kann. Aber er erlangt einen besseren Einblick in das Netzwerk. Auf diesem Weg ist es möglich, andere Angriffe zu starten. Ist das Opfer nachlässig, sind die VPN-Konten an die Domain-Konten gebunden (so im Beispiel von Kaspersky). Dies ermöglicht es unter Umständen, sich auf einem Rechner mit Fernzugriff anzumelden und das Netzwerk von dort aus infizieren.

Was kann ich tun?

Wir empfehlen Ihnen mehrschrittig vorzugehen:

Schritt 1

Überprüfen Sie, ob Sie beziehungsweise Ihr Unternehmen Fortigate SSL VPN Produkte  verwenden. Da die Geräte gekauft oder angemietet werden müssen, sollte dies über die IT-Verwaltung oder notfalls über die Buchhaltung zu recherchieren sein.

Schritt 2

Wenn ja, prüfen Sie, welche Version Sie haben. Folgende Versionen sind verwundbar:

FortiOS 6.0 – 6.0.0 bis 6.0.4

FortiOS 5.6 – 5.6.3 to 5.6.7

FortiOS 5.4 – 5.4.6 bis 5.4.12

Schritt 3

Aktualisieren Sie die Software des Geräts auf die neueste Version. Denken Sie daran, die Systeme immer auf dem neuesten Stand zu halten, auch wenn Ihre Geräte nicht in der obigen Liste der verwundbaren Geräte aufgeführt sind.

Schritt 4

Aktualisieren Sie Ihre Sicherheitssoftware auf die neuesten Versionen und halten Sie diese immer auf dem neuesten Stand. Stellen Sie außerdem sicher, dass alle Module Ihrer Sicherheits-Lösungen immer aktiviert sind.

Schritt 5

Überprüfen Sie die Sicherheitsrichtlinien in Ihrem Unternehmen und stellen Sie sicher, dass sich die Benutzer nur an den Systemen anmelden dürfen, die für ihre betrieblichen Anforderungen erforderlich sind.

Schritt 6

Schränken Sie den VPN-Zugang zwischen verschiedenen Standorten ein, schließen Sie alle Ports, die nicht für betriebliche Zwecke benötigt werden.

Schritt 7

Stellen Sie sicher, dass Sie mindestens drei regelmäßig aktualisierte Sicherungskopien Ihrer kritischen Systeme haben, die es Ihnen ermöglichen würden, Ihren Betrieb im Falle eines unvorhergesehenen Angriffs wiederherzustellen.

 

Wenn Sie Fragen haben oder vermuten, dass Sie angegriffen wurden, zögern Sie nicht, uns zu kontaktieren.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited