Offensichtlich halten viele Admins ihre Fortinet VPNs nicht auf dem aktuellen Stand, sodass Angreifer Systeme attackieren. Der Grund dafür ist nun aufgetauchter Exploit-Code für eine Sicherheitslücke (CVE-2018-13379) aus dem Jahr 2019.
Abgesicherte Versionen sind zwar seit rund einem Jahr verfügbar, dem Sicherheitsforscher Bank Security zufolge sind aber weltweit immer noch fast 50.000 VPN-Systeme nicht gepatcht und somit angreifbar. Seinen Analysen zufolge finden sich darunter vor allem Regierungs-Domains aus den USA.
VPNs kapern
Für eine erfolgreiche Attacke auf das den VPNs zugrundeliegende FortiOS soll das Versenden von präparierten HTTP-Anfragen ausreichen. Klappt das, könnten Angreifer auf Systemdateien zugreifen und so beispielsweise Zugriff auf unverschlüsselte Zugangsdaten bekommen. Anschließend könnten sie sich auf verwundbaren VPN-Systemen einloggen und diese kompromittieren.
Attacken auf die Lücke finden bereits statt. Im Oktober wurde bekannt, dass Angreifer über die Schwachstelle in US-Regierungsnetzwerke eingedrungen sind. Die abgesicherten Versionen listet Fortninet in einer Warnmeldung auf.
Quelle: Jetzt patchen! Exploit-Code bedroht fast 50.000 Fortinet VPNs | heise online