Eine seit längerem bekannte Sicherheitslücke in Fortinets Fortigate-VPN-Servern wird aktiv ausgenutzt. Die Schwachstelle wurde 2019 veröffentlicht und ein Patch ausgeliefert, aber offenbar wurden längst nicht alle Geräte aktualisiert. Laut einem Bericht der Cybersecurity-Firma Kaspersky zirkulieren seit Herbst 2020 Angebote für den Verkauf einer vorgefertigten Liste mit IP-Adressen von anfälligen Geräten in Darkweb-Foren.
"Mit einer solchen IP-Adresse kann ein nicht authentifizierter Angreifer über das Internet eine Verbindung zur Appliance herstellen und remote auf die Sitzungsdatei zugreifen, die einen Benutzernamen und ein Kennwort enthält, die im Klartext gespeichert sind", erklären die Forscher von Kaspersky. Es handelt sich um die Schwachstelle
"CVE-2018-13379" bei im Internet exponierten Fortigate SSL-VPN-Servern.
Vor allem eine neue Ransomware namens "Cring" und die dahinterstehende Gang würden die Schwachstelle ausnutzen. Erstmals auf Cring aufmerksam gemacht hatten im Januar 2021 der Sicherheitsforscher Amigo_A sowie das CSIRT-Team von Swisscom.
"Nachdem die Akteure den ersten Zugang hergestellt haben, legen sie ein angepasstes Mimikatz-Sample ab, gefolgt von Cobaltstrike. Die Ransomware wird dann über Certutill heruntergeladen", erklärte Swisscom zum Vorgehen der Angreifer.
Cring werde nun verstärkt eingesetzt, meldet Kaspersky. Bisherige Opfer seien hauptsächlich Industrieunternehmen in Europa. In mindestens einem Fall habe Cring die vorübergehende Schliessung einer Produktionsstätte verursacht.
"Verschiedene Details des Angriffs weisen darauf hin, dass die Angreifer die Infrastruktur der Zielorganisation sorgfältig analysiert und ihre eigene Infrastruktur und ihr eigenes Toolset auf der Grundlage der in der Aufklärungsphase gesammelten Informationen vorbereitet haben", sagt Vyacheslav Kopeytsev, CERT-Experte von Kaspersky.
Gegenüber
'Bleeping Computer' erklärte Fortinet: "Die Sicherheit unserer Kunden hat für uns oberste Priorität. CVE-2018-13379 ist eine alte Sicherheitsanfälligkeit, die im Mai 2019 behoben wurde. Wenn Kunden dies nicht getan haben, fordern wir sie dringend auf, das Upgrade und die Schadensbegrenzungen sofort umzusetzen."