Sicherheitsforscher sagen, dass böswillige Hacker eine neu entdeckte Schwachstelle in den Firewalls von Fortinet ausgenutzt haben, um in Firmen- und Unternehmensnetzwerke einzudringen.
In einem Stellungnahme am Dienstag veröffentlichtDer Sicherheitsprodukthersteller Fortinet hat bestätigt, dass eine als kritisch eingestufte Schwachstelle in seinen FortiGate-Firewalls, die als CVE-2024-55591 verfolgt wird, „in freier Wildbahn“ ausgenutzt wird.
Fortinet hat Patches zur Verfügung gestellt, aber Sicherheitsforscher warnen, dass Hacker die Schwachstelle seit Dezember massiv als Zero-Day-Sicherheitslücke ausnutzen – also bevor Fortinet von der Schwachstelle wusste und Korrekturen zur Verfügung stellte.
Dies ist das jüngste Beispiel dafür, dass Hacker eine Schwachstelle in einem beliebten Unternehmenssicherheitsprodukt ausnutzen, das Unternehmensnetzwerke vor Eindringlingen schützen soll. Die Nachricht über den Fortinet-Fehler kommt Tage, nachdem dieser bekannt wurde Angreifer nutzen eine separate Zero-Day-Schwachstelle in Ivanti VPN-Servern aus das den Zugriff auf Kundennetzwerke ermöglicht.
Das sagte das Cybersicherheitsunternehmen Arctic Wolf in einem Blogbeitrag Letzte Woche beobachteten die Forscher eine aktuelle „Massen-Exploit“-Kampagne, die Fortinet-FortiGate-Firewall-Geräte mit Verwaltungsschnittstellen betraf, die dem öffentlichen Internet ausgesetzt waren.
Stefan Hostetler, leitender Threat-Intelligence-Forscher bei Arctic Wolf, bestätigte gegenüber TechCrunch, dass dieser beobachtete Exploit mit der kürzlich bestätigten Schwachstelle CVE-2024-55591 in Fortinet-Firewalls zusammenhängt.
Hostetler sagte gegenüber TechCrunch, dass Arctic Wolf „eine Reihe von Einbrüchen beobachtet hat, die Dutzende von Fortinet-Geräten betrafen“, weist jedoch darauf hin, dass dies nur eine „begrenzte Stichprobe im Vergleich zur tatsächlichen Gesamtzahl der wahrscheinlich betroffenen Geräte“ darstellt.
„Die Beweise deuten darauf hin, dass versucht wird, eine große Anzahl von Geräten innerhalb eines engen Zeitrahmens zu untersuchen“, fügte Hostetler hinzu.
Als Fortinet-Sprecherin Tiffany Curci von TechCrunch kontaktiert wurde, wollte sie nicht sagen, wie viele Fortinet-Kunden durch diese Hacking-Kampagne kompromittiert wurden, sagte aber, das Unternehmen kommuniziere „proaktiv mit Kunden“.
Es ist auch unklar, wer hinter den Angriffen auf die Firewalls von Fortinet steckt, sondern der Cybersicherheitsforscher Kevin Beaumont schreibe auf Mastodon dass die Sicherheitslücke „von einem Ransomware-Betreiber ausgenutzt wird“.
Hostetler sagte, Ransomware-Angriffe, die den Fehler ausnutzen, seien „nicht ausgeschlossen“ und wies darauf hin, dass Arctic Fox in früheren Untersuchungen „beobachtet habe, dass Partner von Ransomware-Gruppen wie Akira und Fog einige der gleichen Netzwerkanbieter nutzten, um VPN-Konnektivität herzustellen“.
In eine kurze Stellungnahme Am Dienstag forderte die US-Cybersicherheitsbehörde CISA Fortinet-Kunden auf, alle betroffenen Geräte zu aktualisieren.
Im September, Fortinet hat einen Verstoß offengelegt Dabei ging es um Kundendaten, nachdem ein Angreifer auf „eine begrenzte Anzahl von Dateien“ zugegriffen hatte, die auf einem gemeinsam genutzten Cloud-Laufwerk eines Drittanbieters des Unternehmens gespeichert waren.
