Hacker nutzen Bugs in VPN und Windows Netlogon

Hacker haben sich durch die Kombination von VPN- und Windows-Bugs Zugang zu Regierungsnetzwerken verschafft, so das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) in einer gemeinsamen Sicherheitswarnung.

Die Angriffe richteten sich gegen Regierungsnetzwerke auf Bundes- und Staatsebene sowie auf lokaler, Stammes- und territorialer Ebene (SLTT). Angriffe auf nichtstaatliche Netzwerke seien ebenfalls entdeckt worden, sagten die beiden Behörden.

Dem gemeinsamen Alarm zufolge kombinierten die beobachteten Angriffe zwei Sicherheitsmängel, die als CVE-2018-13379 und CVE-2020-1472 bekannt sind. Bei CVE-2018-13379 handelt es sich um eine Schwachstelle im Fortinet FortiOS Secure Socket Layer (SSL)-VPN, einem On-Premises VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von entfernten Standorten aus eingesetzt werden soll. Der im letzten Jahr veröffentlichte CVE-2018-13379 ermöglicht es Angreifern, bösartige Dateien auf nicht gepatchte Systeme hochzuladen und Fortinet VPN-Server zu übernehmen.

CVE-2020-1472, auch als Zerologon bekannt, ist eine Schwachstelle in Netlogon, dem Protokoll, das von Windows-Workstations zur Authentifizierung gegen einen Windows-Server verwendet wird, der als Domänencontroller läuft.

Die Schwachstelle ermöglicht es Angreifern, Domänen-Controller zu übernehmen, Server-Benutzern die Verwaltung ganzer interner/Unternehmensnetzwerke zu ermöglichen und enthält normalerweise die Passwörter für alle angeschlossenen Arbeitsstationen. CISA und FBI sagen, dass Angreifer diese beiden Schwachstellen kombinieren, um Fortinet-Server zu kapern und dann interne Netzwerke mit Zerologon zu schwenken und zu übernehmen.

„Akteure wurden beobachtet, die legitime Fernzugriffstools wie VPN und Remote Desktop Protocol (RDP) benutzten, um mit den kompromittierten Zugangsdaten auf die Umgebung zuzugreifen“, fügten die beiden Behörden ebenfalls hinzu.

Die gemeinsame Warnung enthielt keine Einzelheiten über die Angreifer, außer dass sie als „Advanced Persistent Threat (APT)-Akteure“ beschrieben wurden. Der Begriff wird von Cyber-Sicherheitsexperten oft verwendet, um staatlich geförderte Hacker-Gruppen zu beschreiben. Letzte Woche sagte Microsoft, es habe beobachtet, wie der iranische APT-Mercury (MuddyWatter) bei den jüngsten Angriffen den Zerologon-Bug ausnutzte. Dabei handelt es sich um einen Bedrohungsakteur, der dafür bekannt ist, dass er in der Vergangenheit US-Regierungsbehörden ins Visier nahm.

Beide Behörden empfahlen, die Systeme zu aktualisieren, um die beiden Fehler zu beheben, für die bereits seit Monaten Patches zur Verfügung stehen. Darüber hinaus warnten der CISA und das FBI auch davor, dass Hacker den Fortinet-Bug gegen jede andere Schwachstelle in VPN- und Gateway-Produkten austauschen könnten, die in den letzten Monaten bekannt geworden sind und ähnlichen Zugriff bieten.

Dazu gehören Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510), Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579), Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781), MobileIron-Verwaltungsserver für mobile Geräte (CVE-2020-15505) und F5 BIG-IP-Netzwerk-Ausgleichsvorrichtungen (CVE-2020-5902)

Diese Schwachstellen lassen sich leicht mit dem Zerologon-Windows-Bug für ähnliche Angriffe wie die von der CISA beobachteten Fortinet und Zerologon-Attacken verknüpfen.