VPN-Zugangsdaten und komplette Konfigurationsdateien tausender FortiNet-Appliances sind im Darknet aufgetaucht, wo eine bislang unbekannte Angreifergruppe sie verschenkt. Die Daten hängen offenbar nicht mit kürzlich veröffentlichten Sicherheitslücken im Appliance-Betriebssystem FortiOS zusammen. heise security hat eine erste Analyse versucht.
Anzeige
In Darknet-Foren gibt es bisweilen kleine Geschenke: So ist es üblich, dass Untergrundhändler Kostproben ihrer Ware kostenlos herausgeben, um deren Qualität zu beweisen – ein Vorgehen, das womöglich von der legalen Datenhandelsbranche abgeschaut ist. Doch komplette Leaks tausender Konfigurations- und Passwortdateien – das ist nicht alltäglich. Eine neue Gruppe namens "Belsen Group" verschenkte nun über 15.000 Datensätze, die offenbar über eine Sicherheitslücke von Fortinet-Firewalls abgezogen wurden.
heise security hat sich den Datensatz besorgt und zunächst oberflächlich analysiert. Es handelt sich um eine ZIP-Datei mit insgesamt 145 Unterverzeichnissen, eines für jedes Land mit betroffenen Geräten. Die meisten, nämlich 1603 FortiNet-Konfigurationen, haben die Angreifer in Mexiko erbeutet, 679 in den USA und 208 in Deutschland. Überwiegend befinden sich diese IP-Adressen im Netz der Deutschen Telekom und von Vodafone, aber auch andere bekannte Internetprovider und Hoster sind darunter.
Gratisleck: Ein neuer Akteur im illegalen Datenmarkt verschenkt massenhaft sensible Daten von FortiNet-Firewalls.
(Bild: heise security / cku)
Doch sind die Daten authentisch oder versucht der Urheber des Datenlecks, sich mit gefälschten Konfigurationen ins Rampenlicht zu stellen? Wir haben die Probe aufs Exempel gemacht und Kontakt mit ein em Betroffenen aufgenommen. Die Kontaktdaten des Administrators fanden sich praktischerweise in der Konfigurationsdatei, der Mann aus Süddeutschland bestätigte gegenüber heise security, dass er eine Fortinet-Firewall administriere. Und mehr noch: Anhand der Aufzeichnungen in der CMDB (Configuration Management Database) des Admins konnten wir nachvollziehen, dass die Konfiguration und VPN-Passwörter im Jahr 2022 von seiner Firewall entwendet wurden.
Der Fortinet-Admin, ein langjähriger c't- und iX-Leser, bestätigte uns weiter, dass einige der Klartextpasswörter aus dem Leak stimmten – andere waren zwischenzeitlich geändert worden. Aufgrund des Hinweises durch heise security schaltete er zudem flugs die webbasierte Management-Konsole ab, die per IPv6 noch aus dem Internet erreichbar war.
Das gilt im Übrigen auch für andere Geräte aus dem Datensatz: An die fünfzig der genannten IP-Adressen waren erreichbar, in unseren Stichproben stießen wir auch auf zugängliche Web-Interfaces. Zusammen mit den ebenfalls geleakten VPN-Passwörtern könnten Angreifer so in die Netze der Betroffenen vordringen.
Viele der betroffenen Geräte stehen offenbar bei Unternehmen und in Praxen, vermutlich ferngewartet durch ein Systemhaus. Da die Konfigurationsdateien zudem alle anderen Authentifizierungsinformationen wie Admin-Passwörter (jedoch verschlüsselt), SSH-Private-Keys und ebenfalls verschlüsselte WLAN-Passwörter enthalten, bieten sie idealen Nährboden für weitere Cyberattacken.
Bei der weiteren Untersuchung haben wir das Netz weiter gespannt, um das Alter der Daten herauszufinden. Unser Gespräch mit dem betroffenen Admin deutete auf das Jahr 2022, was eine Analyse der Versionsstände bestätigte. Grundsätzlich enthielt jede Konfigurationsdatei einen Hinweis auf das Gerät und dessen Firmware- und Buildversion in der ersten Zeile, die etwa so aussah: FWF61E-7.0.1-FW-build0157-210714.
Alle Geräte waren mit FortiOS 7.0.0-7.0.6 oder 7.2.0-7.2.2 ausgestattet, die meisten mit Version 7.2.0. Wir fanden keine FortiOS-Version im Datenschatz, die jünger war als Version 7.2.2, veröffentlicht am 3. Oktober 2022. Auch das im letzten Zahlenblock kodierte Build-Datum, deutet in denselben Datumsbereich: Nach dem 14. September 2022 war keine der untersuchten Firewall-Firmwares zusammengestellt worden.
Immerhin 80 verschiedene Gerätetypen finden sich im Datenleck, am weitesten verbreitet sind die FortiGate Firewall 40F und 60F. Auch WLAN-Gateways finden sich und sowohl Geräte zum Einbau ins Serverrack als auch kompakte Geräte für den Schreibtisch oder Besenschrank.
Die Daten sind also vermutlich im Herbst 2022 gestohlen worden, aber wo und wie kamen die unbekannten Angreifer an die sensiblen Informationen? Darüber gibt es zur Stunde nur Vermutungen. In einer der Konfigurationsdateien findet sich die Zeile "Exploiting target: IP:Port", die auf einen Exploit gegen jede einzelne Firewall hindeutet. Ein zentrales Leck, etwa bei FortiNet selber, scheint höchst unwahrscheinlich, speichert der Hersteller die Konfigurationsdateien doch überhaupt nicht in seiner eigenen Cloud.
Auch ein Zusammenhang mit den jüngst veröffentlichten, teilweise kritischen Sicherheitslücken in FortiNet-Produkten, scheint ausgeschlossen. Die vorliegenden Daten sind zu alt – hätten die Angreifer sich erst vor wenigen Tagen auf den Firewalls eingeschlichen, hätten sie aktuellere Informationen stehlen können.
Im Hintergrundgespräch bestätigten Experten großer Netzbetreiber, dass man bereits in enger Zusammenarbeit mit BSI und anderen Behörden daran arbeite, alle betroffenen Kunden zu informieren und Informationen über die Angreifer zu sammeln. Deren Motivation bleibt ebenso unklar wie die Herkunft der Daten. Auch die Pressestelle von FortiNet, die wir am späten Vormittag des 15. Januar um eine Stellungnahme baten, schweigt sich bislang aus.
(
Kommentare