Fortinet warnt vor Zero-Day-Exploit für Firewalls mit exponierten Schnittstellen

Das Cybersicherheitsunternehmen Fortinet hat Alarm geschlagen, weil es eine aktive Zero-Day-Schwachstellenkampagne gibt, die auf FortiGate-Firewall-Geräte mit offengelegten Verwaltungsschnittstellen abzielt. Diese Angriffe, die unbekannten Bedrohungsakteuren zugeschrieben werden, haben Organisationen weltweit gestört und die entscheidende Bedeutung der Sicherung offener Infrastrukturen unterstrichen.

Details der Kampagne: So verliefen die Angriffe

Die bösartige Aktivität, die Mitte November 2024 begann, nutzt einen noch nicht ermittelten anfänglichen Zugriffsvektor, um Firewall-Verwaltungsschnittstellen zu kompromittieren. Die Cybersicherheitsforscher von Arctic Wolf gehen angesichts der schnellen Verbreitung und der betroffenen Firmware-Versionen davon aus, dass die Angreifer eine Zero-Day-Schwachstelle ausgenutzt haben. Geräte mit Firmware-Versionen zwischen 7.0.14 und 7.0.16 wurden gezielt ins Visier genommen.

Die Angreifer verfolgten eine kalkulierte Vier-Phasen-Strategie:

  1. Aufklärung und Scannen – Identifizieren anfälliger Geräte mithilfe automatisierter Tools und ungewöhnlicher IPs.
  2. Konfigurationsmanipulation – Ändern der Ausgabeeinstellungen, um das Sammeln von Informationen zu erleichtern.
  3. Rechteerweiterung – Erstellen von Superadministratorkonten und Ändern vorhandener Benutzerkonten.
  4. Ausnutzung und Erfassung von Anmeldeinformationen – Einrichten von SSL-VPN-Tunneln und Extrahieren von Anmeldeinformationen mithilfe der DCSync-Technik zur lateralen Bewegung.

Die Verwendung der jsconsole Schnittstelle durch Angreifer und VPN-Tunnel von Virtual Private Server (VPS)-Hosting-Anbietern waren konsistente Indikatoren für eine Kompromittierung.

Fortinet bestätigt kritische Sicherheitslücke

Am 14. Januar 2025 veröffentlichte Fortinet Details zu CVE-2024-55591, einer kritischen Sicherheitslücke zur Umgehung der Authentifizierung, die FortiOS und FortiProxy betrifft. Mit einem CVSS-Score von 9,6 ermöglicht diese Schwachstelle Angreifern, Superadministratorrechte zu erlangen, indem sie das WebSocket-Modul von Node.js ausnutzen.

Betroffene Versionen

  • FortiOS : 7.0.0 bis 7.0.16 (gepatcht in 7.0.17 und höher)
  • FortiProxy : 7.0.0 bis 7.0.19 und 7.2.0 bis 7.2.12 (gepatcht in 7.0.20 bzw. 7.2.13)

Fortinet rät seinen Kunden, Updates umgehend durchzuführen und auf verdächtige Aktivitäten zu achten. Unternehmen werden dringend gebeten, die Offenlegung der Verwaltungsschnittstelle zu begrenzen und den Zugriff nur vertrauenswürdigen Benutzern zu erlauben.

CISA-Maßnahme: Ein Vorstoß zur Schadensminderung

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2024-55591 zu ihrem Katalog bekannter ausgenutzter Sicherheitslücken (KEV) hinzugefügt. Bundesbehörden müssen diese Sicherheitslücke bis zum 21. Januar 2025 beheben.

Empfehlungen zur Risikominderung

Organisationen, die Fortinet-Produkte verwenden, sollten die folgenden Schritte unternehmen, um die Risiken zu mindern:

  1. Firmware aktualisieren – Wenden Sie die neuesten Patches für FortiOS und FortiProxy an, wie in der Empfehlung von Fortinet angegeben.
  2. Beschränken Sie den Zugriff auf die Verwaltungsschnittstelle – Blockieren Sie den öffentlichen Zugriff auf die Verwaltungsschnittstellen und verwenden Sie VPNs für die Remoteverwaltung.
  3. Protokolle überwachen – Achten Sie auf ungewöhnliche Anmeldungen oder Konfigurationsänderungen, die auf eine Kompromittierung hinweisen.
  4. MFA aktivieren – Erzwingen Sie die Multi-Faktor-Authentifizierung für alle Administratorkonten.

Opportunistisches Targeting erfordert Wachsamkeit

Der Umfang der Kampagne und das Fehlen spezifischer Opferprofile lassen eher auf opportunistische Angriffe als auf gezielte Auswahl schließen. Automatisierte Anmelde-/Abmeldeaktivitäten und vielfältige Opferverhalten unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen in Organisationen aller Größen und Branchen.

Da Zero-Day-Angriffe immer ausgefeilter werden, sind rechtzeitige Patches, eine Begrenzung der Gefährdung und die Aufrechterhaltung der Netzwerkwachsamkeit nach wie vor von entscheidender Bedeutung für die Verteidigung gegen sich entwickelnde Bedrohungen.

Bis Zane
January 16, 2025
Computer Security
Deutsch
January 16, 2025
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.