Ein Threat-Research-Team hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf Fortinet FortiGate Firewall-Geräten beobachtet. Indem sie sich Zugang zu den Verwaltungsschnittstellen der betroffenen Firewalls verschafften, konnten Cyberkriminelle die Firewall-Konfigurationen ändern, neue Konten erstellen und sich mit diesen Benutzerkonten bei den SSL-VPN-Portalen anmelden.
In den kompromittierten Umgebungen wurden Bedrohungsakteure dabei beobachtet, wie sie mithilfe von DCSync Anmeldedaten extrahierten. Während der ursprünglich verwendete Zugriffsvektor noch nicht bestätigt ist, schätzt Arctic Wolf Labs angesichts der komprimierten Zeitspanne in den Organisationen sowie der betroffenen Firmware-Versionen, dass der Exploit einer Zero-Day-Schwachstelle sehr wahrscheinlich ist. Wichtige Erkenntnisse von Arctic Wolf im Überblick:
- Arctic Wolf hat eine Kampagne beobachtet, die Fortinet FortiGate Firewall-Geräte mit Management-Schnittstellen im öffentlichen Internet betrifft.
- Die Kampagne umfasst unautorisierte administrative Anmeldungen an den Management-Schnittstellen der Firewalls, die Erstellung neuer Konten, SSL-VPN-Authentifizierung über diese Konten und verschiedene andere Konfigurationsänderungen.
- Obwohl der ursprüngliche Zugriffsvektor noch nicht endgültig bestätigt ist, ist eine Zero-Day-Schwachstelle sehr wahrscheinlich.
- Dringend: Unternehmen sollten den Firewall-Verwaltungszugriff über öffentliche Schnittstellen so schnell wie möglich deaktivieren.
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.