Fortinet Schwachstellen: US-Regierung warnt vor chinesischen Hackern

Der kalifornische Hersteller Fortinet, bekannt für sichere Firewall-, VPN- und Intrusion-Detection-Geräte steht seit Jahren im Fokus der Öffentlichkeit aufgrund schwerwiegender Sicherheitsprobleme. Auch im Februar 2024 musste der Cybersecurity-Experte mehrere höchst kritische Sicherheitslöcher bekanntgeben. Wer sich in solchen Fällen proaktiv gegen Angriffe schützen will, muss sich informieren und zeitnah Patches einspielen.

Produkte wie Greenbones Enterprise Appliances spielen dabei eine zentrale Rolle und helfen den Admins. Für alle in diesem Blogpost genannten Schwachstellen gibt es Tests im Enterprise Feed: Aktive Verfahren prüfen, ob die Lücke besteht und ein Exploit möglich ist, aber auch der Erfolg des Patch Managements lässt sich mit Versionstests unter die Lupe nehmen.

87.000 Passwörter ausgelesen: Fortinet hat die „Schwachstelle des Jahres 2022“

2019 erlaubte es CVE-2018-13379 (CVSS 9.8), über 87.000 Passwörter für das Fortinet-VPN aus den Geräten auszulesen. In den folgenden Jahren wurde diese Schwachstelle so erfolgreich ausgenutzt, dass sie 2022 den fragwürdigen Titel der „am meisten ausgenutzten Schwachstelle 2022“ verliehen bekam. Auch die US-Behörden reagierten und mahnten bei den Anwendern mehr Problembewusstsein an. Aber dass es überhaupt so weit kommen konnte, lag für die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) auch daran, dass viele Kunden nicht zeitnah Patches einspielten. Das, so die Agencies, hätte viele der erfolgreichen Angriffe verhindert.

2023: Unerwünschte Gäste in kritischen Netzen

Dass die Fortinet-Geräte meist in sicherheitskritischen Bereichen eingesetzt werden, macht die Situation noch kritischer: Ungepatcht und mit gravierenden Schwachstellen bestückt, rückten solche Devices in den vergangenen Jahren immer mehr in den Fokus von Angreifern, insbesondere von staatlichen Akteuren. So hatten chinesische Hackergruppen 2023 erfolgreich Netzwerke des niederländischen Militärs infiltriert – über eine bereits ausgebesserte Schwachstelle im FortiOS SSL-VPN vom Dezember 2022 (CVE-2022-42475, CVSS 9.3).

Auch wenn das Netzwerk dem Military Intelligence and Security Service (MIVD) zufolge nur für Forschung und Entwicklung diente, machten die Anfang Februar veröffentlichten Angriffe deutlich, wie einfach es für Angreifer ist, in ansonsten hochgeschützte Netzwerke einzudringen. Die entsprechende Backdoor „Coathanger“ erlaubt es Angreifern dabei sogar, dauerhaften Zugang auf einmal gehackten Geräten zu erreichen, alles dank der Schwachstelle 2022-42475, die das Ausführen beliebigen Codes erlaubt.

Februar 2024: Warnungen vor weiteren Lücken, maximaler Schweregrad

Damit leider nicht genug: Ebenfalls Anfang Februar 2024 musste Fortinet erneut eine gravierende Schwachstelle einräumen: CVE-2024-21762 (CVSS score: 9.6) erlaubt es unauthorisierten Angreifern, über speziell angepasste Requests beliebigen Code auszuführen. Betroffen sind eine lange Liste von Versionen des Fortinet-Betriebssystems FortiOS und des FortiProxy. Der Hersteller rät zum Upgrade oder zum Deaktivieren des SSL-VPNs und warnt sowohl vor der Schwere der Schwachstelle als auch davor, dass sie bereits massiv von Angreifern ausgenutzt werde. Ebenso schlimm sind auch CVE-2024-23108 und CVE-2024-23109, nur wenige Tage später veröffentlicht. Auch sie erlauben es nicht authentifizierten Angreifern, beliebigen Code auszuführen.

Doch ob das so stimmt, ist fraglich: Dass zwei CVEs vom gleichen Hersteller am gleichen Tag auf der Skala der Schwere der Bedrohung eine 10.0 erhalten haben, dürfte einzigartig sein – ebenso wie die verwirrende, wenig Vertrauen erweckende Kommunikation des Herstellers oder die gleichzeitig in Massenmedien berichtete DDOS-Angriffsvariante via Zahnbürste, von denen ein Fortinet-Mitarbeiter erzählte.

Fatale Kombination – Schwachstellenmanagement kann helfen

Wie immer veröffentlichte Fortinet zeitnah Patches, die die Kunden aber auch installieren müssen. Wie katastrophal die Kombination aus schweren Sicherheitslücken, mangelnder Awareness und dem Ausbleiben von Patches wirken kann, zeigte einige Tage später die US-Regierung in einem weiteren Advisory von CISA, NSA und FBI: Volt Typhoon, eine staatliche chinesische Hackergruppe, habe sich auch über derlei Schwachstellen schon seit vielen Jahren dauerhaft in der kritischen Infrastruktur von US-Behörden eingenistet – die damit verbundenen Gefahren dürften nicht unterschätzt werden, so die Warnung.

Zu der dort geforderten „Security by Design“ gehört auch das konstante Überwachen der eigenen Server, Rechner und Installationen mit Schwachstellentests wie denen der Greenbone Enterprise Appliances. Wer seine Netzwerke (nicht nur die Fortinet-Geräte) permanent mit den Vulnerability Tests eines modernen Schwachstellenscanners überwacht, kann seine Administratoren schnellstens informieren, wenn bekannte CVEs in einer Infrastruktur auf Patches warten – und verringert damit die Angriffsfläche.