Fortinet hat eine schwerwiegende Sicherheitsbedrohung für FortiGate VPN-Systeme aufgedeckt. Cyberkriminelle nutzen eine raffinierte Technik, die ihnen auch nach der Installation von Sicherheitsupdates weiterhin Zugriff auf kompromittierte Geräte ermöglicht. Diese Entdeckung erfordert unmittelbare Aufmerksamkeit von Sicherheitsadministratoren.
Technische Details der Angriffsmethode
Die Angreifer kombinieren mehrere bekannte Schwachstellen (CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762), um initial in die Systeme einzudringen. Nach erfolgreicher Kompromittierung erstellen sie symbolische Links in den SSL-VPN-Sprachdateien, die auf das Root-Dateisystem des Geräts verweisen. Diese Technik ermöglicht einen permanenten Lesezugriff über die öffentlich zugängliche SSL-VPN-Weboberfläche.
Innovative Aspekte der Persistenz-Strategie
Besonders bemerkenswert ist die Manipulation des Benutzerdateisystems anstelle von Systemdateien. Diese Vorgehensweise erschwert die Erkennung der schädlichen Aktivitäten erheblich und gewährleistet den fortbestehenden Zugriff selbst nach der Implementation von Sicherheitsupdates. Die Angreifer können dadurch Konfigurationen und Systemdateien des kompromittierten Geräts einsehen.
Zeitlicher Verlauf und Ausmaß der Angriffskampagne
Nach Angaben des französischen CERT (CERT-FR) wurden erste großflächige Angriffe mit dieser Technik bereits Anfang 2023 registriert. Die Breite der Kampagne unterstreicht die Dringlichkeit von Gegenmaßnahmen zum Schutz betroffener Infrastrukturen.
Empfohlene Sicherheitsmaßnahmen
Fortinet empfiehlt dringend ein Update auf die FortiOS-Versionen 7.6.2, 7.4.7, 7.2.11, 7.0.17 oder 6.4.16. Diese Updates enthalten spezielle Mechanismen zur Entfernung der von Angreifern genutzten schädlichen Dateien und symbolischen Links. Zusätzlich wird ein umfassender Sicherheitsaudit der FortiGate VPN-Systeme empfohlen.
Dieser Vorfall verdeutlicht die essentielle Bedeutung zeitnaher Systemaktualisierungen und kontinuierlichen Infrastruktur-Monitorings. Organisationen sollten einen ganzheitlichen Sicherheitsansatz implementieren, der regelmäßige Überprüfungen auf unauthorisierte Zugriffe und verdächtige Systemaktivitäten einschließt. Die Integration modernster Sicherheitspraktiken und proaktiver Überwachungsmechanismen ist für die effektive Abwehr solcher ausgefeilter Angriffsmethoden unerlässlich.
