FortiBleed: Tausende Angriffe gegen FortiGate VPN und Firewalls

Unbekannte sollen laut mehrerer Medienberichte weltweit zehntausende FortiGate-Instanzen kompromittiert haben. Der Sicherheitsforscher Diachenko habe eine Datenbank im Internet gefunden, die Anmeldedaten für knapp 74.000 Fortinet-Firewall URLs aus 194 Ländern enthält. Die Anmeldedaten bestehen aus Benutzernamen, E-Mail-Adressen sowie Passwörtern im Klartext.

Die Basis der Kampagne bilden vermutlich Zugangsdaten aus früheren Daten-Leaks. Die Angreifenden nutzen diese Daten im Rahmen automatisierter Attacken gegen öffentlich erreichbare Fortinet-Systeme. Diachenko berichtet über insgesamt mehr als 1 Milliarde Anmeldeversuche auf etwa 320.000 FortiGate Appliances sowie über 2 Milliarden Versuche gegen über 160.000 Microsoft-SQL-Server-Instanzen. 

Bei Erfolg wurden die Treffer in einer zentralen Datenbank vermerkt und zur Beobachtung des weiteren Datenverkehrs verwendet, um weitere Zugangsdaten zu erlangen. Laut Diachenko gehören die gefundenen Daten zu einer russischsprachigen Gruppe mit mehreren Akteuren.

Die meisten kompromittierten FortiGate-Instanzen seien in Indien und den USA. Auch Fortinet-Systeme deutscher Institutionen seien betroffen, jedoch befinde sich Deutschland nicht in den Top 20 der betroffenen Länder. Eine vollständige Liste der Betroffenen oder weitere technische Details zu FortiBleed gebe es bislang nicht.

• Ändern Sie die Passwörter aller administrativen Konten und VPN-Konten Ihrer Fortinet-Systeme.
• Aktivieren Sie 2-Faktor-Authentifizierungen, falls möglich.
• Prüfen Sie Ihre Systeme auf ungewöhnliche Anmeldeaktivitäten.
• Beschränken Sie den administrativen Zugriff auf vertrauenswürdige Netze.
• Installieren Sie regelmäßige Updates der Firmware unmittelbar nach Veröffentlichung.