APT-Gruppen nutzen Schwachstelle in FortiOS SSL-VPN

APT-Gruppen nutzen Schwachstelle in FortiOS SSL-VPN
Anzeige

Beitrag teilen

Neue Schwachstelle in Fortinets FortiOS SSL-VPN ermöglicht Remote-Code-Ausführungen. Tenable kommentiert die Ausnutzung der Schwachstelle durch staatlich geförderte Angreifer die mit Ländern wie Russland, Iran und China verbunden sind.

Die Sicherheitsforscher von Mandiant verfolgen eine neue Kampagne an Cyberangriffen, bei der Angreifer eine kürzlich bekannt gegebene Schwachstelle in Fortinets FortiOS SSL-VPN, CVE-2022-42475, als Zero-Day ausnutzen. Die Entdeckung oder Beschaffung einer Zero-Day-Schwachstelle ist in der Regel ein kostspieliges Unterfangen, so dass es zwar überraschend, aber nicht unerwartet ist, dass ein nationalstaatlicher Akteur eine Zero-Day-Schwachstelle ausnutzt.

Anzeige

Zero-Day-Schwachstellen sind kostspielig

„Seit 2019 haben wir gesehen, dass SSL-VPN-Schwachstellen von Citrix, Pulse Secure und Fortinet von einer Vielzahl von Angreifern ausgenutzt werden, von Ransomware-Affiliates bis hin zu APT-Bedrohungsgruppen (Advanced Persistent Threat) und nationalstaatlichen Akteuren, die mit Ländern wie Russland, Iran und China verbunden sind.

Da diese Assets öffentlich zugänglich sind, sind sie ein ideales Ziel für Angriffe. Aus Kostensicht sind die Investitionen in die Entwicklung oder Beschaffung von Zero-Day-Schwachstellen sicherlich höher, während die Nutzung von öffentlich verfügbarem Exploit-Code für ältere Schwachstellen nichts kostet. In diesem Sinne ist es überraschend, dass ein staatlicher Akteur mit Verbindungen zu China eine Zero-Day-Schwachstelle ausnutzt, wenngleich es nicht unerwartet ist. Unternehmen, die SSL-VPN-Software einsetzen, sollten sich darauf konzentrieren, diese Geräte rechtzeitig zu patchen, um das Zeitfenster für opportunistische Angreifer zu begrenzen. Gleichzeitig sollten sie sicherstellen, dass ein robustes Programm zur Reaktion auf Sicherheitsvorfälle vorhanden ist“, so Satnam Narang, Staff Research Engineer bei Tenable.

Anzeige

Kopf an Kopf-Rennen mit Angriff und Patch

Drei Tage nach der ersten öffentlichen Bekanntgabe hat Fortinet den Patch CVE-2022-42475 veröffentlicht und bestätigt, dass er in freier Wildbahn ausgenutzt wurde. Bei dem kritischen Sicherheitsfehler handelt es sich um eine Buffer-Overflow-Schwachstelle. Dadurch ist in mehreren Versionen von ForiOS, die in SSL-VPNs und Firewalls eingesetzt werden, Remote-Code-Ausführung möglich.

SSL-VPNs von Fortinet sind schon seit Jahren ein wichtiges Ziel – so sehr, dass das FBI und die CISA im Jahr 2021 einen speziellen Hinweis auf diese Schwachstellen und deren Ausnutzung herausgegeben haben. Es ist bekannt, dass staatliche Akteure diese alten Schwachstellen in Fortinet SSL VPNs immer noch ausnutzen. Da diese neue Schwachstelle bereits ausgenutzt wurde, sollten Unternehmen CVE-2022-42475 sofort patchen, bevor sie sich in die Reihe der anderen alten VPN-Schwachstellen einreiht.

Mehr bei Tenable.com

 


Über Tenable

Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.


 

Passende Artikel zum Thema

Agentenbasierte Cybersicherheit mit Open-Source-Modell

Der KI-Agent Trend Cybertron von Trend Micro wird als Open-Source-Modell veröffentlicht. Das KI-Modell und Agenten-Framework1 soll die Entwicklung von autonomen ➡ Weiterlesen

OpenCloud: Alternative Filemanagement Lösung

Filemanagement, Filesharing und Content Collaboration - aber auf neuen Wegen und weg von Lösungen der großen digitalen Konzerne Microsoft SharePoint ➡ Weiterlesen

IoT- und OT-Umgebungen mit MXDR schützen

Mit der steigenden Zahl von IoT- und OT-Geräten vergrößern Unternehmen ihre Angriffsflächen für Cyberkriminelle. Im letzten Jahr war fast jede ➡ Weiterlesen

Hybride SASE-Lösung FireCloud Internet Access

Mit FireCloud Internet Access präsentiert WatchGuard Technologies das erste Produkt einer neuen Familie von hybriden Secure Access Service Edge (SASE)-Lösungen. ➡ Weiterlesen

Proaktive Cybersecurity-KI wehrt Attacken ab

Die erste proaktive Cybersecurity-KI von Trend Micro setzt neue Maßstäbe mit neuen Funktionen für proaktives Risikomanagement, Threat Modeling, Attack Path ➡ Weiterlesen

Chinesische Cyberspionage nimmt drastisch zu

Der Global Threat Report 2025 veröffentlicht zeigt eine zunehmende Aggressivität chinesischer Cyberspionage, einen Anstieg von GenAI-basiertem Social Engineering und Schwachstellenforschung ➡ Weiterlesen

Cybersicherheit: Verbesserter Enterprise Browser 

Mit dem Enterprise Browser als Teil der vollständig integrierten SSE können Unternehmen den Zugriff von nicht verwalteten Geräten, BYOD und ➡ Weiterlesen

Gegen Cyber-Risiken: Plattform für Risikomanagement

Sicherheitslücken schnell erkennen und somit Cyber-Risiken mitigieren: Die neue Anwendung erweitert die Exposure Management-Lösung von Zscaler und bietet eine einzige ➡ Weiterlesen