Hacker nutzen Bugs in VPN und Windows Netlogon

Hacker haben sich durch die Kombination von VPN- und Windows-Bugs Zugang zu Regierungsnetzwerken verschafft, so das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) in einer gemeinsamen Sicherheitswarnung.

Die Angriffe richteten sich gegen Regierungsnetzwerke auf Bundes- und Staatsebene sowie auf lokaler, Stammes- und territorialer Ebene (SLTT). Angriffe auf nichtstaatliche Netzwerke seien ebenfalls entdeckt worden, sagten die beiden Behörden.

Dem gemeinsamen Alarm zufolge kombinierten die beobachteten Angriffe zwei Sicherheitsmängel, die als CVE-2018-13379 und CVE-2020-1472 bekannt sind. Bei CVE-2018-13379 handelt es sich um eine Schwachstelle im Fortinet FortiOS Secure Socket Layer (SSL)-VPN, einem On-Premises VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von entfernten Standorten aus eingesetzt werden soll. Der im letzten Jahr veröffentlichte CVE-2018-13379 ermöglicht es Angreifern, bösartige Dateien auf nicht gepatchte Systeme hochzuladen und Fortinet VPN-Server zu übernehmen.

CVE-2020-1472, auch als Zerologon bekannt, ist eine Schwachstelle in Netlogon, dem Protokoll, das von Windows-Workstations zur Authentifizierung gegen einen Windows-Server verwendet wird, der als Domänencontroller läuft.

Die Schwachstelle ermöglicht es Angreifern, Domänen-Controller zu übernehmen, Server-Benutzern die Verwaltung ganzer interner/Unternehmensnetzwerke zu ermöglichen und enthält normalerweise die Passwörter für alle angeschlossenen Arbeitsstationen. CISA und FBI sagen, dass Angreifer diese beiden Schwachstellen kombinieren, um Fortinet-Server zu kapern und dann interne Netzwerke mit Zerologon zu schwenken und zu übernehmen.

„Akteure wurden beobachtet, die legitime Fernzugriffstools wie VPN und Remote Desktop Protocol (RDP) benutzten, um mit den kompromittierten Zugangsdaten auf die Umgebung zuzugreifen“, fügten die beiden Behörden ebenfalls hinzu.

Die gemeinsame Warnung enthielt keine Einzelheiten über die Angreifer, außer dass sie als „Advanced Persistent Threat (APT)-Akteure“ beschrieben wurden. Der Begriff wird von Cyber-Sicherheitsexperten oft verwendet, um staatlich geförderte Hacker-Gruppen zu beschreiben. Letzte Woche sagte Microsoft, es habe beobachtet, wie der iranische APT-Mercury (MuddyWatter) bei den jüngsten Angriffen den Zerologon-Bug ausnutzte. Dabei handelt es sich um einen Bedrohungsakteur, der dafür bekannt ist, dass er in der Vergangenheit US-Regierungsbehörden ins Visier nahm.

Beide Behörden empfahlen, die Systeme zu aktualisieren, um die beiden Fehler zu beheben, für die bereits seit Monaten Patches zur Verfügung stehen. Darüber hinaus warnten der CISA und das FBI auch davor, dass Hacker den Fortinet-Bug gegen jede andere Schwachstelle in VPN- und Gateway-Produkten austauschen könnten, die in den letzten Monaten bekannt geworden sind und ähnlichen Zugriff bieten.

Dazu gehören Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510), Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579), Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781), MobileIron-Verwaltungsserver für mobile Geräte (CVE-2020-15505) und F5 BIG-IP-Netzwerk-Ausgleichsvorrichtungen (CVE-2020-5902)

Diese Schwachstellen lassen sich leicht mit dem Zerologon-Windows-Bug für ähnliche Angriffe wie die von der CISA beobachteten Fortinet und Zerologon-Attacken verknüpfen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

24 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

24 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago