von Fabian Murer

In den Kreisen der Informationssicherheit ist seit letzter Woche ein Thema wieder stark präsent: Eine Schwachstelle (CVE-2018-13379) in der bekannten VPN-Software von Fortinet aus dem Jahr 2019 wird aktiv von Hackern ausgenutzt.

Erst kürzlich berichtete ein Sicherheitsforscher mit dem Namen «Bank Security» [1], dass – obwohl seit rund einem Jahr eine abgesicherte Version [2] von Fortinet bereitgestellt wird – aktuell immer noch rund 50’000 Fortinet-VPNs nicht gepatcht und daher immer noch verwundbar sind. Am 25. November 2020 dann der nächste Bericht: Ein «Threat Actor» hat zu den zuvor veröffentlichten verwundbaren IP-Adressen die zugehörigen Zugangsdaten im Klartext veröffentlicht. [3],[4]

Was bedeutet das nun?

«Virtual Private Networks» (VPNs) sind heutzutage nicht mehr aus dem Geschäftsalltag wegzudenken. Gerade in Zeiten von COVID-19 und dem vermehrten Arbeiten aus dem Home-Office sind VPN-Verbindungen eine bevorzugte Methode, sich mit dem Firmennetzwerk zu verbinden, um so auf die gewohnten Ressourcen, wie etwa die zentrale Dateiablage oder interne Applikationen, zugreifen zu können. Neben all ihren Vorteilen, wie das entfernte Arbeiten über einen sicheren und verschlüsselten Kanal, bergen VPNs natürlich auch gewisse Gefahren. Je nach Konfiguration bieten VPNs einen direkten Zugang ins Firmennetzwerk und damit auch zu den sich darin befindenden Systemen.

Die seit 2019 bekannte Schwachstelle (CVE-2018-13379) im FortiOS, dem Betriebssystem der Fortinet-Produkte, erlaubt es Angreifern, mit relativ einfachen Mitteln die Login-Daten der VPN-Benutzer zu stehlen. Die erlangten Zugangsdaten können dann von den Angreifern verwendet werden, um sich über die VPN-Verbindung mit dem Firmennetzwerk zu verbinden. Einmal im Netzwerk hat der Angreifer beinahe unbeschränkte Möglichkeiten. Angefangen vom Ausspionieren des Unternehmens bis hin zu aktiven Angriffen auf die Systeme mit Schadsoftware, beispielsweise Verschlüsselungstrojaner (Ransomware), oder der vollständigen Kontrolle der gesamten IT-Infrastruktur ist alles möglich.

Im Hinblick auf diese Möglichkeiten eines Angreifers und den daraus resultierenden Gefahren für ein Unternehmen ist es umso erstaunlicher, dass über ein Jahr nach der Veröffentlichung einer gesicherten Version von FortiOS immer noch rund 50’000 verwundbare VPN-Schnittstellen im Internet erreichbar sind. Im Oktober 2020 wurde beispielsweise bekannt, dass sogar US-Regierungsbehörden über diese Schwachstelle attackiert wurden. [5] Den neusten Berichten zufolge gibt es auch diverse Banken mit verwundbaren Systemen. [6]

Wie können sich Unternehmen gegen solche Angriffe schützen?

Die beste Methode, sich gegen diese Angriffe zu schützen, ist die Installation der von Fortinet bereitgestellten und abgesicherten Version von FortiOS. [2] Darüber hinaus wird empfohlen, die entsprechenden VPN-Verbindungen über einen zweiten Authentisierungsfaktor abzusichern. Werden wie im aktuellen Fall aktive Zugangsdaten bekannt und veröffentlicht, so verhindert ein solcher zweiter Faktor eine erfolgreiche Anmeldung.

Zusätzlich sind präventive Massnahmen, wie eine entsprechende Netzwerk-Segmentierung und der Schutz von Endpunkten, zu empfehlen, um Angreifer im Falle einer erfolgreichen Kompromittierung an der Ausbreitung zu hindern und / oder den Angriffsversuch schnell festzustellen. Ebenfalls sollten alle IT-Komponenten im Netzwerk inventarisiert, regelmässig auf bekannte Schwachstellen überprüft und stets auf dem neuesten Stand gehalten werden.

Was sollte unternommen werden?

Neben der Aktualisierung der Software und der Absicherung mittels eines zweiten Faktors sollten dringend die Protokolle der vergangenen VPN-Verbindungen überprüft werden. Gibt es Verbindungen von unbekannten oder unerwarteten Orten, kann dies ein Hinweis darauf sein, dass die Schwachstelle bzw. ein veröffentlichter Zugang von Angreifern ausgenutzt wurde.

Darüber hinaus sollten die Zugriffslogs auf Spuren [7] einer möglichen Ausnutzung der Schwachstelle überprüft werden. Sollte bis anhin eine verwundbare Version von FortiOS in Betrieb gewesen sein und vor allem wenn Spuren einer Ausnutzung der Schwachstelle gefunden wurden, wird dringend empfohlen, die Zugangsdaten aller Benutzer zu ändern.

3 Fragen an den Spezialisten

Penetration Tester

Nachfolgend erläutert Fabian Gonzalez, Team Leader Penetration Testing und Senior Penetration Tester, drei Fragen aus der Sicht eines Red Teams, die im Zusammenhang mit dieser Schwachstelle und der möglichen Ausnutzung interessant sind:

Was kann ein Angreifer mit den geleakten Zugangsdaten anstellen?
Sofern kein zweiter Faktor für die Authentifizierung verwendet wird, kann sich der Angreifer mit den bekannten Zugangsdaten per VPN mit dem Firmennetzwerk verbinden. Dabei hat der Angreifer Zugriff auf die gleichen Netzwerke und Systeme wie normale Mitarbeiter. In den meisten Fällen bedeutet dies, dass er kompletten Zugriff auf die interne Mitarbeiterzone hat, was dem Angreifer eine Vielzahl an neuen Angriffsflächen bietet.

Wie unterscheidet sich dieser Vorfall von einem erfolgreichen Phishing-Angriff?
Dieser Angriff benötigt im Gegensatz zu einem Phishing-Angriff keine direkte Benutzerinteraktion. Es ist ausreichend, wenn auf dem Fortinet-VPN Benutzer angemeldet sind, damit die Zugangsdaten ausgelesen werden können. In der aktuellen Situation mit COVID-19 und dem Arbeiten aus dem Home-Office ist die Chance dafür noch grösser als sonst.

Wie unterscheiden sich die Angriffsmöglichkeiten, wenn die geleakten Zugangsdaten zu einem normalen Benutzer oder aber zu einem Administrator gehören?
Grundsätzlich reichen die Zugangsdaten eines normalen Benutzers für den Zugriff auf das interne Netzwerk aus. Unter Umständen haben Administratoren weniger Zugriffseinschränkungen, wenn sie sich per VPN verbinden, und besitzen somit Zugriff auf restriktivere Netzwerkzonen. Auch könnten administrative Zugangsdaten je nach Konfiguration für die Anmeldung auf dem Fortinet-VPN-Administrationsinterface verwendet werden, um damit die VPN-Konfiguration zu manipulieren und weiteren oder gar dauerhaften Zugriff (Hintertüren) zu erlangen.

IT-Forensik-Spezialist und Incident Responder

Fabian Murer, Digital Forensics und Incident Response Specialist, beantwortet drei Fragen aus der Sicht eines Blue Teams, die im Zusammenhang mit dieser Schwachstelle und der möglichen Ausnutzung interessant sind:

Wie kann man feststellen, ob das Netzwerk kompromittiert wurde?
Hier gibt es mehrere Möglichkeiten: Zunächst sollte geprüft werden, ob die eigentliche Schwachstelle ausgenutzt wurde. Zum einen sollten die Zugriffslogs des Fortinet-Endpunkts auf verdächtige Zugriffe überprüft werden. Wurde die Schwachstelle ausgenutzt, so ist ein Zugriff auf folgende URL ersichtlich (Die Anzahl an «../»- und «//»-Kombinationen kann variieren.):
"https://FORTINET_IP/remote/fgt_lang?lang=</../../../../////////dev/cmdb/sslvpn_websession"

Zum anderen gilt es zu ermitteln, ob mit zuvor gestohlenen Zugangsdaten VPN-Verbindungen aufgebaut wurden. Hierzu sollten die VPN-Verbindungsprotokolle auf ungewöhnliche Zugriffe, beispielsweise Zugriffe aus einem unerwarteten Land oder zu einer unerwarteten Zeit, überprüft werden.

Wie kann sich ein Unternehmen gegen solche Angriffe schützen?
Auch dazu gibt es mehrere Massnahmen, die getroffen werden können, um die Erfolgschancen solcher Angriffe zu minimieren und die Ausnutzung geleakter Zugangsdaten zu unterbinden. Als erstes sollte die Schwachstelle behoben werden. Hierzu hat Fortinet bereits eine neue Version bereitgestellt, in der diese Schwachstelle behoben wurde. [2] Um sich vor Zugriffen mit geleakten Zugangsdaten zu schützen, wird empfohlen, den VPN-Zugang mit einem zweiten Authentisierungsfaktor (2FA) abzusichern. Auf diese Weise können Angreifer trotz bekannter Zugangsdaten nicht ohne Weiteres eine VPN-Verbindung aufbauen. Direkte administrative Zugriffe über die VPN-Verbindung sollten komplett unterbunden werden.

Zusätzlich sollten auch präventive Massnahmen getroffen werden, um einem Angreifer im Falle einer erfolgreichen Ausnutzung der Schwachstelle das Leben schwer zu machen. Das Netzwerk sollte so segmentiert sein, dass VPN-Verbindungen in einem eigenen Netzwerk-Segment terminieren. Dieses Segment erlaubt nur die absolut nötigen Zugänge und die entsprechenden Zugriffe werden besonders überwacht. Zusätzlich wird dringendst nahegelegt, auf allen Systemen eine Antiviren-Lösung mit aktuellen Signaturen zu installieren und diese durchgehend zu aktivieren, um eine mögliche Verbreitung von Schadsoftware festzustellen und unterbinden zu können.

Die Schwachstelle wurde ausgenutzt und es kam zu einem Zugriff auf das Netzwerk. Was sind die nächsten Schritte?
Wenn die Schwachstelle nachweislich ausgenutzt wurde und die Angreifer sich über die VPN-Verbindung mit dem Netzwerk verbunden haben, sollten umgehend alle Zugangsdaten geändert werden, da diese dem Angreifer potenziell bekannt sind. Des Weiteren sollten die vom Angreifer unternommenen Aktivitäten durch das missbrauchte Benutzerkonto nachverfolgt werden (Anmeldung auf weiteren Systemen, Ausführung von Programmen etc.). Alle Systeme, mit welchen der Angreifer in Berührung gekommen ist, sollten einem Antivirenscan unterzogen werden. Je nach Fall ist eine IT-forensische Untersuchung dieser Geräte und den Logs empfehlenswert, um die genauen Aktivitäten des Angreifers zu analysieren. Ebenfalls sollte überprüft werden, ob auf dem Fortinet-Endpunkt durch den Angreifer eine Hintertür installiert wurde, sodass dieser in Zukunft weiterhin Zugang zum Netzwerk hätte. Dies kann beispielsweise ein neu erstellter Benutzer oder ein zusätzlicher versteckter VPN-Kanal sein.

Fazit

Durch die zunehmende Verwendung von VPNs und die Schwachstelle im Fortinet-VPN in Kombination mit den geleakten Zugangsdaten bietet sich Angreifern ein ziemlich einfacher und direkter Weg in nicht geschützte Unternehmen. Aus diesem Grund wird dringend empfohlen, ein Update durchzuführen und entsprechende weitere Untersuchungen bezüglich einer möglichen Kompromittierung zu forcieren, sollte noch eine verwundbare Version des Fortinet-VPN in Verwendung sein.

Grundsätzlich wird eine Inventarisierung aller IT-Komponenten im Netzwerk und deren regelmässige Überprüfung auf Schwachstellen empfohlen. Darüber hinaus sollte dafür gesorgt werden, dass sowohl Software als auch sämtliche Systeme stets auf dem neuesten Stand gehalten werden.

Über den Autor

Fabian Murer schloss seinen Master in Informatik mit Vertiefungsrichtung Information Security im April 2018 an der ETH Zürich ab. In seiner Masterarbeit entwickelte er ein digitales Signierungssystem, welches die Daten basierend auf QR-Codes nur über eine Luftbrücke übermittelt. Sein Interesse an Penetration Testing und Hacking Challenges brachte Fabian Murer im Herbst 2017 in das Finale der Swiss Cyber Storm. Er ist zertifizierter GIAC Network Forensic Analyst (GNFA), GIAC Defender of Advanced Threats (GDAT), GIAC Certified Forensic Examiner (GCFE), Offensive Security Certified Professional (OSCP), OSSTMM Professional Security Tester (OPST) und seit 2018 Digital Forensics & Incident Response Specialist bei Oneconsult.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cyber Security Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cyber Security-Spezialisten mit 40+ hochqualifizierten Cyber Security Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com