Die Shadowserver Foundation hat eine weitreichende Cyberattacke auf Fortinet-Geräte aufgedeckt, bei der mehr als 16.620 Systeme weltweit kompromittiert wurden. Die Angreifer nutzten dabei eine besonders raffinierte Technik mittels symbolischer Verknüpfungen (Symlinks), die ihnen auch nach der Behebung initialer Schwachstellen weiterhin Zugriff auf die betroffenen Systeme ermöglichte.
Technische Details der Angriffsmethode
Die Attacke zielte speziell auf FortiGate VPN-Systeme ab, wobei die Angreifer symbolische Verknüpfungen in den Sprachdateienverzeichnissen platzierten. Diese Symlinks verwiesen auf das Root-Dateisystem der Geräte mit aktiviertem SSL-VPN. Durch diese geschickte Manipulation konnten die Angreifer auch nach Installation von Sicherheitsupdates über das öffentlich zugängliche SSL-VPN-Webinterface auf kritische Systemdateien zugreifen.
Fortinets Reaktion und Sicherheitsmaßnahmen
Als Reaktion auf die Bedrohung hat Fortinet umgehend eine neue Erkennungssignatur implementiert, die schädliche Symlinks identifiziert und entfernt. Das Unternehmen veröffentlichte zudem ein Firmware-Update mit zwei wesentlichen Funktionen:
– Beseitigung existierender bösartiger Symlinks
– Verhinderung unauthorized file traversal über den integrierten Webserver
Empfohlene Sicherheitsmaßnahmen für Administratoren
Sicherheitsexperten empfehlen folgende kritische Sofortmaßnahmen:
– Installation aller verfügbaren Sicherheitsupdates
– Vollständiges Zurücksetzen der Anmeldedaten auf kompromittierten Systemen
– Durchführung einer umfassenden Systemkonfigurationsprüfung
– Strikte Befolgung der offiziellen Fortinet-Richtlinien zur Systembereinigung
Diese Sicherheitslücke stellt keine neue Schwachstelle dar, sondern ist Teil einer Angriffsserie, die seit 2023 beobachtet wird. Besonders kritisch ist, dass Angreifer möglicherweise Zugriff auf aktuelle Konfigurationsdateien und Anmeldeinformationen erlangt haben. Dies erfordert von Sicherheitsadministratoren erhöhte Wachsamkeit und eine vollständige Erneuerung aller kritischen Zugangsdaten in betroffenen Systemen. Die Situation unterstreicht die Bedeutung proaktiver Sicherheitsmaßnahmen und regelmäßiger Systemaudits im Unternehmensumfeld.
