Hacker nutzen Bugs in VPN und Windows Netlogon

Hacker haben sich durch die Kombination von VPN- und Windows-Bugs Zugang zu Regierungsnetzwerken verschafft, so das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) in einer gemeinsamen Sicherheitswarnung.

Die Angriffe richteten sich gegen Regierungsnetzwerke auf Bundes- und Staatsebene sowie auf lokaler, Stammes- und territorialer Ebene (SLTT). Angriffe auf nichtstaatliche Netzwerke seien ebenfalls entdeckt worden, sagten die beiden Behörden.

Dem gemeinsamen Alarm zufolge kombinierten die beobachteten Angriffe zwei Sicherheitsmängel, die als CVE-2018-13379 und CVE-2020-1472 bekannt sind. Bei CVE-2018-13379 handelt es sich um eine Schwachstelle im Fortinet FortiOS Secure Socket Layer (SSL)-VPN, einem On-Premises VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von entfernten Standorten aus eingesetzt werden soll. Der im letzten Jahr veröffentlichte CVE-2018-13379 ermöglicht es Angreifern, bösartige Dateien auf nicht gepatchte Systeme hochzuladen und Fortinet VPN-Server zu übernehmen.

CVE-2020-1472, auch als Zerologon bekannt, ist eine Schwachstelle in Netlogon, dem Protokoll, das von Windows-Workstations zur Authentifizierung gegen einen Windows-Server verwendet wird, der als Domänencontroller läuft.

Die Schwachstelle ermöglicht es Angreifern, Domänen-Controller zu übernehmen, Server-Benutzern die Verwaltung ganzer interner/Unternehmensnetzwerke zu ermöglichen und enthält normalerweise die Passwörter für alle angeschlossenen Arbeitsstationen. CISA und FBI sagen, dass Angreifer diese beiden Schwachstellen kombinieren, um Fortinet-Server zu kapern und dann interne Netzwerke mit Zerologon zu schwenken und zu übernehmen.

„Akteure wurden beobachtet, die legitime Fernzugriffstools wie VPN und Remote Desktop Protocol (RDP) benutzten, um mit den kompromittierten Zugangsdaten auf die Umgebung zuzugreifen“, fügten die beiden Behörden ebenfalls hinzu.

Die gemeinsame Warnung enthielt keine Einzelheiten über die Angreifer, außer dass sie als „Advanced Persistent Threat (APT)-Akteure“ beschrieben wurden. Der Begriff wird von Cyber-Sicherheitsexperten oft verwendet, um staatlich geförderte Hacker-Gruppen zu beschreiben. Letzte Woche sagte Microsoft, es habe beobachtet, wie der iranische APT-Mercury (MuddyWatter) bei den jüngsten Angriffen den Zerologon-Bug ausnutzte. Dabei handelt es sich um einen Bedrohungsakteur, der dafür bekannt ist, dass er in der Vergangenheit US-Regierungsbehörden ins Visier nahm.

Beide Behörden empfahlen, die Systeme zu aktualisieren, um die beiden Fehler zu beheben, für die bereits seit Monaten Patches zur Verfügung stehen. Darüber hinaus warnten der CISA und das FBI auch davor, dass Hacker den Fortinet-Bug gegen jede andere Schwachstelle in VPN- und Gateway-Produkten austauschen könnten, die in den letzten Monaten bekannt geworden sind und ähnlichen Zugriff bieten.

Dazu gehören Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510), Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579), Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781), MobileIron-Verwaltungsserver für mobile Geräte (CVE-2020-15505) und F5 BIG-IP-Netzwerk-Ausgleichsvorrichtungen (CVE-2020-5902)

Diese Schwachstellen lassen sich leicht mit dem Zerologon-Windows-Bug für ähnliche Angriffe wie die von der CISA beobachteten Fortinet und Zerologon-Attacken verknüpfen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

20 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

24 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago