Arctic Wolf Labs, das Threat-Research-Team von Arctic Wolf, hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf „Fortinet FortiGate Firewall“-Geräten beobachtet. Indem sie sich Zugang zu den Verwaltungsschnittstellen der betroffenen Firewalls verschafften, konnten Cyberkriminelle die Firewall-Konfigurationen ändern, neue Konten erstellen und sich mit diesen Benutzerkonten bei den SSL-VPN-Portalen anmelden. In den kompromittierten Umgebungen wurden Bedrohungsakteure dabei beobachtet, wie sie mithilfe von DCSync Anmeldedaten extrahierten.
Während der ursprünglich verwendete Zugriffsvektor noch nicht bestätigt ist, schätzt Arctic Wolf Labs angesichts der komprimierten Zeitspanne in den Organisationen sowie der betroffenen Firmware-Versionen, dass der Exploit einer Zero-Day-Schwachstelle sehr wahrscheinlich ist.
Wichtige Erkenntnisse von Arctic Wolf im Überblick:
- Arctic Wolf hat eine Kampagne beobachtet, die „Fortinet FortiGate Firewall“-Geräte mit Management-Schnittstellen im öffentlichen Internet betrifft.
- Die Kampagne umfasst unautorisierte administrative Anmeldungen an den Management-Schnittstellen der Firewalls, die Erstellung neuer Konten, SSL-VPN-Authentifizierung über diese Konten und verschiedene andere Konfigurationsänderungen.
- Obwohl der ursprüngliche Zugriffsvektor noch nicht endgültig bestätigt ist, ist eine Zero-Day-Schwachstelle sehr wahrscheinlich.
- Dringend: Unternehmen sollten den Firewall-Verwaltungszugriff über öffentliche Schnittstellen so schnell wie möglich deaktivieren.
Info: Weitere Informationen zum Thema finden sich hier im Arctic-Wolf-Blog.
#ArcticWolf
