Telkos, ISPs und Energiekonzerne betroffen

Update: Dreamlab identifiziert 533 gefährdete Fortinet-Systeme in der Schweiz

Uhr
von Coen Kaat und Adrian Oberer und aob, mla, cka

Gemäss Cybersecurity-Anbieter Dreamlab sind 533 IT-Systeme noch nicht gegen die kürzlich entdeckte, aktiv ausgenutzte Fortinet-Schwachstelle geschützt. Darunter befinden sich demnach auch mehrere Telkos, ISPs und Energiekonzerne. Besonders betroffen ist der Kanton Zürich.

(Source: Vladyslav - stock.adobe.com)
(Source: Vladyslav - stock.adobe.com)

Update vom 17.10.2022: Fortinet hat am 6. Oktober über die Sicherheitslücke CVE-2022-40684 in FortiOS, FortiProxy und FortiSwitchManager informiert. Cyberkriminelle suchen aktiv nach ungepatchten Systemen, um die Schwachstelle auszunutzen.

Das Cyber-Radar-System "CyObs" von Dreamlabs identifizierte 533 IT-Systeme in der Schweiz, bei denen die Sicherheitslücke noch nicht geschlossen wurde, wie der Cybersecurity-Anbieter mitteilt. Am stärksten betroffen ist gemäss dem Blogeintrag der Kanton Zürich mit 260 ungeschützten Systemen.

Unter den betroffenen Schweizer Firmen befinden sich mehrere Telkos, Internet Service Provider (ISPs), Energiekonzerne und Industrieunternehmen, wie Dreamlab weiter mitteilt.

Aufgrund des hohen Schadenspotenzials eines Cyberangriffes unter Verwendung dieser Schwachstelle, informierte Dreamlabs nach eigenen Angaben am 17. Oktober alle betroffenen Unternehmen direkt.

Folgende Softwareversionen schliessen die Sicherheitslücke:

  • FortiOS version 7.2.2 oder höher

  • FortiOS version 7.0.7 oder höher

  • FortiProxy version 7.2.1 oder höher

  • FortiProxy version 7.0.7 oder höher

  • FortiSwitchManager version 7.2.1 oder höher

Update vom 17.10.2022:

Cyberkriminelle suchen aktiv nach ungepatchten Fortinet-Geräten

Eine kritische Sicherheitslücke in FortiOS, FortiProxy und FortiSwitchManager ermöglicht es Angreifern, Admin-Befehle auszuführen. Das Unternehmen veröffentlichte Sicherheitsupdates für die betroffenen Geräte sowie Workarounds zur Neutralisierung der Schwachstelle.

Seit Bekanntwerden der Sicherheitslücke wird diese für Cyberangriffe genutzt, wie "Bleepingcomputer" berichtet. Fortinet teilte ausserdem mit, dass Cyberkriminelle gezielt nach ungepatchten Geräten suchen und die Schwachstelle nutzen, um eigene Administratoren-Profile anzulegen. Mehrere Cybersicherheitsfirmen bestätigen die Angriffe ebenfalls.

Fortinet fordert Systemadministratoren erneut nachdrücklich auf, betroffene Geräte so schnell wie möglich auf den neuesten Softwarestand zu bringen. Administratoren, für die das nicht möglich ist, verweist das Unternehmen auf sein Advisory zur Minderung des Risikos.

Originalmeldung vom 11.10.2022:

Fortinet-Bug ermöglicht unerlaubten Admin-Zugriff

Fortinet warnt vor einer ernsten Schwachstelle in den eigenen Produkten. Die kritische Sicherheitslücke in FortiOS, FortiProxy und FortiSwitchManager ermöglicht es einem Angreifer, die Authentifizierung zu umgehen. Cyberkriminelle könnten also aus der Ferne Aktionen ausführen, die eigentlich nur Administratoren machen dürften. Dafür müssten sie spezifische HTTP- oder HTTPS-Anfragen über das administrative Interface abschicken.

Laut dem Advisory von Fortinet ist dem Unternehmen ein Fall bekannt, in dem der Bug ausgenutzt wurde. Der Hersteller stufte den Schweregrad der Schwachstelle (CVE-2022-40684) als "kritisch" ein und gab ihr einen CVSSv3 Score von 9.6 von 10.

Wie "Heise" berichtet, hatte Fortinet zunächst seine Kunden in einer als vertraulich eingestuften Mitteilung gewarnt. Diese Warnung landete jedoch umgehend in den sozialen Netzwerken.

Das US-amerikanische Unternehmen beschreibt im Advisory Workarounds, um die Gefahr einzudämmen. Um betroffene Fortinet-Produkte abzusichern, müssen Admins die HTTP/HTTPS-Verwaltungsschnittstelle deaktivieren. Beim FortiOS und den FortiProxy-Lösungen können Admins alternativ auch die IP-Adressen begrenzen, welche das administrative Interface erreichen können. Mehr Details zu den Workarounds gibt's hier.

Betroffene Produkte

  • FortiOS: Version 7.2.0 bis 7.2.1 und Version 7.0.0 bis 7.0.6

  • FortiProxy: Version 7.2.0 und Version Version 7.0.0 bis 7.0.6

  • FortiSwitchManager: Version 7.2.0 und Version 7.0.0

Fortinet hat übrigens einen neuen Country Manager für die Schweiz. Achim Freyer übernahm die Funktion im September von Franz Kaiser, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_270925