Hacker nutzen Bugs in VPN und Windows Netlogon

Hacker haben sich durch die Kombination von VPN- und Windows-Bugs Zugang zu Regierungsnetzwerken verschafft, so das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) in einer gemeinsamen Sicherheitswarnung.

Die Angriffe richteten sich gegen Regierungsnetzwerke auf Bundes- und Staatsebene sowie auf lokaler, Stammes- und territorialer Ebene (SLTT). Angriffe auf nichtstaatliche Netzwerke seien ebenfalls entdeckt worden, sagten die beiden Behörden.

Dem gemeinsamen Alarm zufolge kombinierten die beobachteten Angriffe zwei Sicherheitsmängel, die als CVE-2018-13379 und CVE-2020-1472 bekannt sind. Bei CVE-2018-13379 handelt es sich um eine Schwachstelle im Fortinet FortiOS Secure Socket Layer (SSL)-VPN, einem On-Premises VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von entfernten Standorten aus eingesetzt werden soll. Der im letzten Jahr veröffentlichte CVE-2018-13379 ermöglicht es Angreifern, bösartige Dateien auf nicht gepatchte Systeme hochzuladen und Fortinet VPN-Server zu übernehmen.

CVE-2020-1472, auch als Zerologon bekannt, ist eine Schwachstelle in Netlogon, dem Protokoll, das von Windows-Workstations zur Authentifizierung gegen einen Windows-Server verwendet wird, der als Domänencontroller läuft.

Die Schwachstelle ermöglicht es Angreifern, Domänen-Controller zu übernehmen, Server-Benutzern die Verwaltung ganzer interner/Unternehmensnetzwerke zu ermöglichen und enthält normalerweise die Passwörter für alle angeschlossenen Arbeitsstationen. CISA und FBI sagen, dass Angreifer diese beiden Schwachstellen kombinieren, um Fortinet-Server zu kapern und dann interne Netzwerke mit Zerologon zu schwenken und zu übernehmen.

„Akteure wurden beobachtet, die legitime Fernzugriffstools wie VPN und Remote Desktop Protocol (RDP) benutzten, um mit den kompromittierten Zugangsdaten auf die Umgebung zuzugreifen“, fügten die beiden Behörden ebenfalls hinzu.

Die gemeinsame Warnung enthielt keine Einzelheiten über die Angreifer, außer dass sie als „Advanced Persistent Threat (APT)-Akteure“ beschrieben wurden. Der Begriff wird von Cyber-Sicherheitsexperten oft verwendet, um staatlich geförderte Hacker-Gruppen zu beschreiben. Letzte Woche sagte Microsoft, es habe beobachtet, wie der iranische APT-Mercury (MuddyWatter) bei den jüngsten Angriffen den Zerologon-Bug ausnutzte. Dabei handelt es sich um einen Bedrohungsakteur, der dafür bekannt ist, dass er in der Vergangenheit US-Regierungsbehörden ins Visier nahm.

Beide Behörden empfahlen, die Systeme zu aktualisieren, um die beiden Fehler zu beheben, für die bereits seit Monaten Patches zur Verfügung stehen. Darüber hinaus warnten der CISA und das FBI auch davor, dass Hacker den Fortinet-Bug gegen jede andere Schwachstelle in VPN- und Gateway-Produkten austauschen könnten, die in den letzten Monaten bekannt geworden sind und ähnlichen Zugriff bieten.

Dazu gehören Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510), Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579), Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781), MobileIron-Verwaltungsserver für mobile Geräte (CVE-2020-15505) und F5 BIG-IP-Netzwerk-Ausgleichsvorrichtungen (CVE-2020-5902)

Diese Schwachstellen lassen sich leicht mit dem Zerologon-Windows-Bug für ähnliche Angriffe wie die von der CISA beobachteten Fortinet und Zerologon-Attacken verknüpfen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

71 Opfer seit September: Forscher warnen vor Ransomware Egregor

Die Hintermänner sind bisher in 19 Ländern aktiv. Die Mehrheit der Opfer befindet sich jedoch…

1 Stunde ago

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

16 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

17 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

19 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

21 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

23 Stunden ago