Bei einer gross angelegten Angriffskampagne gegen Fortinet-Firewalls und VPN-Gateways sollen 73'932 Firewall-URLs in 194 Ländern kompromittiert worden sein. Entdeckt wurde der Vorfall vom Cybersicherheitsexperten Bob Diachenko von Security Discovery, der auf
Linkedin von einer laufenden Brute-Force- und Exploitation-Kampagne gegen Fortinet- beziehungsweise Fortigate-Systeme schreibt. Die Sicherheitsfirma Hudson Rock hat die Daten weiter analysiert und
spricht von 21'632 betroffenen Domains.
Laut Hudson Rock sollen die Angreifer rund 1,16 Milliarden Zugriffsversuche auf mehr als 320'000 Fortigate-Systeme durchgeführt haben. Zusätzlich nennt der Bericht 2,1 Milliarden Brute-Force-Angriffe auf über 160'000 MSSQL-Server. Der Cybersicherheitsexperte Kevin Beaumont ordnet die Zahl der betroffenen Fortinet-Firewalls laut Bericht als rund die Hälfte aller derzeit mit dem Internet verbundenen Geräte ein.
Die Angreifer sollen nicht nur Passwörter ausprobiert haben. Laut den Analysen wurden Anmeldedaten aus Fortigate-Konfigurationen extrahiert und anschliessend mit einem GPU-Cluster geknackt. Die daraus gewonnenen Klartextpasswörter sollen danach für Bewegungen in internen Netzwerken genutzt worden sein. In mehreren Fällen seien auch Active-Directory-Umgebungen kompromittiert worden.
Die Sicherheitsfirma nennt Opfer aus zahlreichen Branchen. In den Datensätzen sollen unter anderem
Foxconn,
Samsung,
Siemens,
Lenovo,
PWC und
Accenture sowie Regierungsstellen und Betreiber kritischer Infrastrukturen auftauchen. Besonders viele kompromittierte Geräte verzeichnet der Bericht in Indien, den USA, Taiwan, Mexiko und der Türkei.
Die Sicherheitsfirma empfiehlt betroffenen Organisationen, FortiOS-Verwaltungsschnittstellen nicht öffentlich erreichbar zu machen, Zugangsdaten zu wechseln und Multi-Faktor-Authentifizierung durchzusetzen. Zudem sollten verdächtige erfolgreiche Administrator-Logins geprüft werden, weil Angreifer nach einem Zugriff auch Hintertüren angelegt haben könnten.
(dow)
