Firewalls und VPN-Gateways sind ein lohnendes Angriffsziel – bewachen sie doch das Eingangstor in Unternehmensnetzwerke. Ein Sicherheitsforscher hat nun nach eigenen Angaben eine großangelegte Angriffskampagne gegen Geräte des Herstellers Fortinet aufgedeckt. An die 74.000 sollen kompromittiert worden sein.
Wer hinter dem Angriff steckt ist unklar, Entdecker Volodymyr Diachenko erwähnt jedoch eine „russischsprachige Cybercrime-Gruppe mit mehreren Mitgliedern“. Diese habe zunächst massenhaft Zugangsdaten – etwa aus vorherigen Datenlecks – bei Fortinet-Geräten durchprobiert, insgesamt 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern.
Auch die Zahl der über „FortiBleed“ angegriffenen Geräte ist astronomisch: Es seien 320.000 gewesen. Die Hälfte aller über das Internet erreichbaren Fortinet-Geräte. Davon hätten die Kriminellen bei 73.932 Fortinet-Appliances in aller Welt erfolgreich Zugangsdaten abgegriffen, führt Diachenko aus. Die Angaben lassen sich nicht unabhängig überprüfen. In der Mehrzahl der Fälle waren wohl die Management-Interfaces aus dem Internet zugänglich.
Doch wie die Angreifer genau auf die Geräte kamen, bleibt unklar. Sicherheitsexperte Kevin Beaumont vermutet, sie hätten womöglich eine bislang noch unbekannte Sicherheitslücke genutzt, um sich Zugriff zu verschaffen. Dann hätten sie die Gerätekonfiguration abgezogen und die dort enthaltenen Passwort-Hashes mittels eines spezialisierten Clusters mit 48 GPUs und einer Bruteforce-Attacke geknackt. In älteren Versionen der Fortinet-Firmware sind Passwörter mit dem Verfahren SHA256 mit Salt gehasht, das sich im Vergleich zu der ab FortiOS 7.2.11 üblichen PBKDF2-Variante mit zufälligem Hash erheblich effizienter mittels Werkzeugen wie hashcat angreifen lässt.












