Netzwerk-Admins aufgepasst: Derzeit nutzen Angreifer eine Sicherheitslücke in Netzwerkprodukten von Fortinet aus. Sind Attacken erfolgreich, sollen sie sich Sicherheitsforschern zufolge Fernzugriffe für Firmennetzwerke mit Admin-Rechten einrichten. Die „kritische“ Sicherheitslücke (CVE-2022-40684) betrifft FortiOS, FortiProxy und FortiSwitch. Konkret sind davon unter anderem Firewalls und Proxies bedroht. Mittels präparierter HTTP/HTTPS-Anfragen könnten Angreifer Aktionen mit Admin-Rechten ausführen. Attacken sollen ohne Authentifizierung und aus der Ferne möglich sein. Sicherheitspatches gibt es seit Anfang Oktober 2022. Nun berichten Sicherheitsforscher von Cyble, dass Angreifer die Schwachstelle im Visier haben und sich darüber SSH-Zugänge mit Admin-Rechten einrichten. So können sie jederzeit auf Systeme zugreifen. Außerdem könnten Angreifer nach einer erfolgreichen Attacke neue Nutzer anlegen, Systemkonfigurationen einsehen und Traffic umleiten. Eigenen Angaben zufolge haben die Forscher in einem Hacker-Forum zum Verkauf stehende VPN-Zugänge zu kompromittierten Systemen gestoßen. In einem Bericht führen sie aus, dass weltweit mehr als 100.000 Firewalls über das Internet erreichbar sind – darunter sind auch welche in Deutschland. Aufgrund der aktuellen Attacken sind offensichtlich noch nicht alle gepatcht. In welchem Umfang die Attacken derzeit stattfinden, ist bislang nicht bekannt. Admins sollten sicherstellen, dass die folgenden gegen die Angriffe abgesicherten Versionen installiert sind:
- FortiOS 7.0.7, 7.2.2, 7.0.5 B8001 für FG6000F- und 7000E/F-Plattformen
- Forti Proxy 7.0.7, 7.2.1
- FortiSwitch 7.0.1, 7.2.1
In einer Warnmeldung von Fortinet findet man weitere Informationen wie Anzeichen (IOCs) für bereits erfolgte Attacken.