Neue Schwachstelle in Fortinets FortiOS SSL-VPN ermöglicht Remote-Code-Ausführungen. Tenable kommentiert die Ausnutzung der Schwachstelle durch staatlich geförderte Angreifer die mit Ländern wie Russland, Iran und China verbunden sind.
Die Sicherheitsforscher von Mandiant verfolgen eine neue Kampagne an Cyberangriffen, bei der Angreifer eine kürzlich bekannt gegebene Schwachstelle in Fortinets FortiOS SSL-VPN, CVE-2022-42475, als Zero-Day ausnutzen. Die Entdeckung oder Beschaffung einer Zero-Day-Schwachstelle ist in der Regel ein kostspieliges Unterfangen, so dass es zwar überraschend, aber nicht unerwartet ist, dass ein nationalstaatlicher Akteur eine Zero-Day-Schwachstelle ausnutzt.
Zero-Day-Schwachstellen sind kostspielig
„Seit 2019 haben wir gesehen, dass SSL-VPN-Schwachstellen von Citrix, Pulse Secure und Fortinet von einer Vielzahl von Angreifern ausgenutzt werden, von Ransomware-Affiliates bis hin zu APT-Bedrohungsgruppen (Advanced Persistent Threat) und nationalstaatlichen Akteuren, die mit Ländern wie Russland, Iran und China verbunden sind.
Da diese Assets öffentlich zugänglich sind, sind sie ein ideales Ziel für Angriffe. Aus Kostensicht sind die Investitionen in die Entwicklung oder Beschaffung von Zero-Day-Schwachstellen sicherlich höher, während die Nutzung von öffentlich verfügbarem Exploit-Code für ältere Schwachstellen nichts kostet. In diesem Sinne ist es überraschend, dass ein staatlicher Akteur mit Verbindungen zu China eine Zero-Day-Schwachstelle ausnutzt, wenngleich es nicht unerwartet ist. Unternehmen, die SSL-VPN-Software einsetzen, sollten sich darauf konzentrieren, diese Geräte rechtzeitig zu patchen, um das Zeitfenster für opportunistische Angreifer zu begrenzen. Gleichzeitig sollten sie sicherstellen, dass ein robustes Programm zur Reaktion auf Sicherheitsvorfälle vorhanden ist“, so Satnam Narang, Staff Research Engineer bei Tenable.
Kopf an Kopf-Rennen mit Angriff und Patch
Drei Tage nach der ersten öffentlichen Bekanntgabe hat Fortinet den Patch CVE-2022-42475 veröffentlicht und bestätigt, dass er in freier Wildbahn ausgenutzt wurde. Bei dem kritischen Sicherheitsfehler handelt es sich um eine Buffer-Overflow-Schwachstelle. Dadurch ist in mehreren Versionen von ForiOS, die in SSL-VPNs und Firewalls eingesetzt werden, Remote-Code-Ausführung möglich.
SSL-VPNs von Fortinet sind schon seit Jahren ein wichtiges Ziel – so sehr, dass das FBI und die CISA im Jahr 2021 einen speziellen Hinweis auf diese Schwachstellen und deren Ausnutzung herausgegeben haben. Es ist bekannt, dass staatliche Akteure diese alten Schwachstellen in Fortinet SSL VPNs immer noch ausnutzen. Da diese neue Schwachstelle bereits ausgenutzt wurde, sollten Unternehmen CVE-2022-42475 sofort patchen, bevor sie sich in die Reihe der anderen alten VPN-Schwachstellen einreiht.
Mehr bei Tenable.com
Über Tenable Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.