Vergangenes Wochenende entdeckte ein Sicherheitsforscher im Rahmen seiner Arbeit eine ungewöhnlich strukturierte Sammlung gestohlener Daten, welche sich nach weiterer Analyse als kompromittierte Zugangsdaten für zehntausende Fortinet-Systeme weltweit herausstellten. Die Echtheit der Daten wurden in weiterer Folge sowohl durch unabhängige Sicherheitsexperten als auch das Sicherheitsunternehmen Hudson Rock bestätigt.

Die rund 75.000 betroffenen Fortinet-Systeme verteilen sich auf nahezu 200 Länder weltweit und betreffen mehr als 20.000 Unternehmen, Organisationen und Domains. Der "Leak" (beziehungsweise die Aktivitäten die zu diesem führten) wurden in weiterer Folge als "FortiBleed" tituliert.

Was FortiBleed von vergangenen Angriffen unterscheidet ist die Methodik. Die Angreifer:innen nutzen keine neuen, unbekannten Schwachstellen aus sondern machten sich ein grundlegenderes Problem zu Nutze: Unternehmen und Organisationen ändern offenbar die Passwörter ihrer Firewalls nicht, oder sie verwenden für sensible, über das Internet erreichbare Systeme Zugangsdaten, die Kriminellen bereits bekannt sind.

Dieses Faktum wird gezielt und automatisiert ausgenutzt. Zunächst wird das Internet mit automatisierten Werkzeugen  nach exponierten Fortinet-Systemen durchsucht. Diese werden dann mithilfe von Listen bereits bekannter Zugangsdaten kompromittiert, und anschließend als eine Art "Abhörposten" genutzt, der den durchfließenden Netzwerkverkehr überwacht und weitere Zugangsdaten abfängt. Diese werden dann wiederum bereits bestehenden Listen an Zugangsdaten hinzugefügt um weitere Angriffe zu ermöglichen.

Technisch gehen die Angreifer:innen dabei weiter als bloßes Credential-Stuffing. Laut Hudson Rock fangen die Kriminellen gezielt Hashes von Zugangsdaten ab und brechen diese mithilfe eines starken GPU-Clusters.

Unternehmen und Organisationen die Fortinet-Geräte betreiben sollten unmittelbar handeln. Aktuell liegen uns noch keine Informationen über weitere Angriffe unter Ausnutzung der gestohlenen Daten vor. Die Strukturierung des Leaks legt jedoch nahe, dass es sich bei den Täter:innen um finanziell motivierte Kriminelle handelt. Nachdem die "Entdeckung" der kompromittierten Datensätze diese nun bis zu einem gewissen Grad unter Zugzwang setzt ist es nicht unwahrscheinlich, dass sie zeitnah versuchen werden die gestohlenen Daten beziehungsweise vorhandenen Zugriffe noch zu nutzen bevor Gegenmaßnahmen betroffener Unternehmen greifen können.

Verantwortliche sollten auf jeden Fall sicherstellen, dass Fortinet-Systeme auf dem neuesten Patchstand sind und Management-Interfaces nicht direkt aus dem Netz erreichbar sind. Darüber hinaus ist ein erzwungener Passwortwechsel aller Administratoren nach einem Update auf die aktuelle FortiOS-Version notwendig, um das System zur Verwendung des sichereren PBKDF2-Hash-Verfahrens zu bewegen. Ebenso wichtig ist die flächendeckende Einführung von Multi-Faktor-Authentifizierung für alle externen Zugänge und Admin-Interfaces. Wenn eine solche konfiguriert ist erschwert dies Angreifer:innen die Ausnutzung gestohlener Zugangsdaten massiv.

Hudson Rock bietet zudem unter hudsonrock.com/fortinet ein kostenloses Tool an, mit dem Unternehmen prüfen können, ob ihre Domain in dem kompromittierten Datensatz auftaucht.