FortiBleed: Wie 74.000 Fortinet-Firewalls zum offenen Tor für Hacker wurden
TL;DR
FortiBleed: Wie 74.000 Fortinet-Firewalls zum offenen Tor für Hacker wurden
Die Sicherheitswelt ist erschüttert von „FortiBleed“, einer massiven Kampagne zum Diebstahl von Zugangsdaten, die Cyberkriminellen faktisch die Schlüssel zum Königreich in die Hand gegeben hat. Wir sprechen hier nicht von einem kleinen Fehler; es geht um 73.932 Fortinet FortiGate-Firewall-Systeme in 194 Ländern, deren Administrator- und VPN-Zugangsdaten offengelegt wurden. Von Regierungsbehörden bis hin zu Schwergewichten der multinationalen Unternehmenswelt sind die Auswirkungen erschütternd. Sensible Konfigurationsdaten und Authentifizierungs-Token werden derzeit auf kriminellen Foren wie Sammelkarten gehandelt.
Die treibende Kraft hinter dieser Operation? Eine russischsprachige Bedrohungsgruppe, die diese Zugangsdaten nicht einfach zufällig gefunden hat – sie baute ein leistungsstarkes 45-GPU-Offline-Cracking-Rig, um gezielt abgefangene SSL-VPN-Authentifizierungs-Hashes zu knacken. Sicherheitsforscher bei Bitsight haben bestätigt, dass dies keine bloße Theorie ist. Opportunistische Hacker und hochentwickelte staatlich geförderte Akteure nutzen diese Daten bereits, um sich Zugang zu internen Active Directory-Umgebungen zu verschaffen.
Die technische „Erbsünde“
Im Zentrum des FortiBleed-Chaos steht die Art und Weise, wie ältere Versionen von FortiOS mit Passwort-Hashing umgingen. Es stellte sich heraus, dass Administrator-Passwörter selbst nach der Installation von Firmware-Updates oft als schwache SHA-256-Hashes im System verblieben. Diese wurden erst dann automatisch auf den deutlich sichereren PBKDF2-Standard aktualisiert, wenn sich ein Benutzer physisch anmeldete. Diese kleine Lücke – dieses Zeitfenster des „Wartens auf einen Login“ – gab den Angreifern alle Zeit, die sie brauchten, um die Hashes zu sammeln und in aller Ruhe zu knacken.
Das Ausmaß ist schlichtweg erschreckend. Diese Akteure starteten über 1,16 Milliarden Versuche, Zugangsdaten gegen FortiGate-Ziele zu erlangen, sowie weitere 2,1 Milliarden gegen MSSQL-Systeme. Mit ihrem 45-GPU-Cluster im Hintergrund validierten sie erfolgreich Zugangsdaten für 73.932 eindeutige Firewall-URLs in über 21.600 verschiedenen Domains. Die Daten sind echt und gefährlich. Forscher wie Hudson Rock verfolgen die Verbreitung, und der Konsens ist eindeutig: Die Offenlegung ist weit verbreitet und systemisch.
Wer steht im Fadenkreuz?
Etwa die Hälfte aller aus dem Internet erreichbaren FortiGate-Einheiten weltweit ist betroffen. Die Liste der Opfer liest sich wie das „Who is Who“ der Fortune 500 – Samsung, Siemens und Oracle sind ebenso dabei wie verschiedene Regierungsstellen. In einem besonders erschreckenden Vorfall nutzten Angreifer diese gestohlenen Zugangsdaten, um in das Netzwerk eines NATO-Verteidigungsunternehmens einzudringen und sensible, klassifizierte Dokumente zu entwenden.
Sobald sie eingedrungen sind, bleiben sie nicht untätig. Sie setzen ein Standard-Toolkit ein, das darauf ausgelegt ist, Persistenz aufrechtzuerhalten und das interne Netzwerk abzubilden. Wenn Sie Systemadministrator sind, sollten Sie nach diesen Namen Ausschau halten:
- Chisel: Ein schneller TCP/UDP-Tunnel über HTTP, der das Umgehen von Firewall-Beschränkungen zum Kinderspiel macht.
- Neo-reGeorg: Eine gefährliche Web-Shell, die für Pivoting und tiefgreifende Aufklärung verwendet wird.
- EternalBlue: Der Klassiker für laterale Bewegungen und die Eskalation von Privilegien, sobald ein Fuß in der Tür ist.
| Metrik | Detail |
|---|---|
| Betroffene Geräte | 73.932 eindeutige FortiGate-URLs |
| Globale Reichweite | 194 Länder |
| Primäre Schwachstelle | Schwaches SHA-256 Passwort-Hashing |
| Angriffsinfrastruktur | 45-GPU-Cluster |
| Beobachtete Aktivität | Aktive Exfiltration von internen AD-Daten |
Den Schaden beheben
Wenn Sie FortiGate betreiben, müssen Sie Ihren Firmware-Status sofort überprüfen. Die Schwachstelle betrifft Geräte mit FortiOS-Versionen vor 7.2.11, 7.4.8 und 7.6.1. Verlassen Sie sich nicht nur auf unsere Informationen; prüfen Sie Cyber-Threat-Intelligence-Feeds, um zu sehen, ob Ihre Infrastruktur bereits Teil der im Umlauf befindlichen Datensätze ist.
Die Lösung ist unkompliziert, aber arbeitsintensiv: Aktualisieren Sie Ihre Firmware auf die neuesten gepatchten Versionen. Diese Versionen erzwingen die Umstellung auf ein stärkeres Passwort-Hashing. Darüber hinaus müssen Sie Ihre Administratorkonten und VPN-Protokolle auf verdächtige Aktivitäten prüfen. Wie Recorded Future betont hat, werden diese Akteure nicht verschwinden. Sie müssen alle Ihre Zugangsdaten rotieren und eine Multi-Faktor-Authentifizierung (MFA) für jede einzelne Verwaltungsschnittstelle erzwingen, die dem öffentlichen Internet ausgesetzt ist.
Die Entdeckung des Servers, der diese riesige Liste von Zugangsdaten hostete, wird dem Forscher Volodymyr „Bob“ Diachenko zugeschrieben. Seine Arbeit unterstreicht eine brutale Realität: Die Verwendung veralteter Hashing-Methoden in Geräten der Enterprise-Klasse ist ein Rezept für eine Katastrophe. Wenn Ihr internetseitiges FortiGate-Gerät in letzter Zeit nicht aktualisiert wurde, müssen Sie davon ausgehen, dass es bereits kompromittiert ist.
Die Kampagne ist dynamisch. Diese Gruppen ändern ihre Taktik, sobald sie unter Druck geraten. Ihre beste Verteidigung ist ein unermüdlicher Patch-Zyklus und ein wachsamer Blick auf Ihren Netzwerkverkehr. Achten Sie auf Anzeichen von Chisel oder Neo-reGeorg, überwachen Sie Ihren ausgehenden Datenverkehr auf Anomalien und halten Sie Ausschau nach Anzeichen für laterale Bewegungen. Nach einem Leck dieser Größenordnung reicht „ausreichende“ Sicherheit nicht mehr aus.
