10
FORTINET - Chinesische Hacker könnten laut MIVD 20.000 FortiGates geknackt haben
Moin Zusammen,
laut einer Aussage des MIVD (Dutch Military Intelligence and Security Service), könnten weltweit bis zu 20.000 FortiGates durch chinesische Hacker kompromittiert worden sein.
https://www.bleepingcomputer.com/news/security/chinese-hackers-breached- ...
😔
Weitere Infos:
https://arstechnica.com/security/2024/06/china-state-hackers-infected-20 ...
Gruss Alex
laut einer Aussage des MIVD (Dutch Military Intelligence and Security Service), könnten weltweit bis zu 20.000 FortiGates durch chinesische Hacker kompromittiert worden sein.
https://www.bleepingcomputer.com/news/security/chinese-hackers-breached- ...
"As the MIVD disclosed in February in a joint report with the General Intelligence and Security Service (AIVD), Chinese hackers exploited a critical FortiOS/FortiProxy remote code execution vulnerability (CVE-2022-42475) over a few months between 2022 and 2023 to deploy malware on vulnerable Fortigate network security appliances."
"Since February, the Dutch military intelligence service has discovered that the Chinese threat group obtained access to at least 20,000 FortiGate systems worldwide in 2022 and 2023 over a span of a few months, at least two months before Fortinet disclosed the CVE-2022-42475 vulnerability."
"The MIVD believes the Chinese hackers still have access to many victims because the Coathanger malware is difficult to detect as it intercepts system calls to avoid revealing its presence and is also challenging to remove since it survives firmware upgrades."
😔
Weitere Infos:
https://arstechnica.com/security/2024/06/china-state-hackers-infected-20 ...
Gruss Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3416652198
Url: https://administrator.de/contentid/3416652198
Printed on: June 18, 2024 at 13:06 o'clock
10 Comments
Latest comment
Der PSIRT Blog dazu
4
Hallo,
weil gerade Fortinet - bei einem unserer Kunden, da machen wir nur TK - war vor ca. 2 Wochen die Config der Fortinet weg.
Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.
LG
Snagless
weil gerade Fortinet - bei einem unserer Kunden, da machen wir nur TK - war vor ca. 2 Wochen die Config der Fortinet weg.
Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.
LG
Snagless
Moin @Snagless,
ja, das kann schon passieren, wenn z.B. deren SSD am verrecken ist.
Gruss Alex
Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.
ja, das kann schon passieren, wenn z.B. deren SSD am verrecken ist.
Gruss Alex
1
Moin @Snagless,
bevor der nächste Monsun kommt, musste ich gestern noch dringend aufs Dach krappseln, deshalb musste ich mich bei meiner gestrigen Antwort auch etwas beeilen.
Die Lebensdauer der SSD einer FortiGate, müsste sich eigentlich genauso auslesen lassen wie auch die bei einer Sophos XG(S), da ja beide auf einem Pinguin laufen. 🙃
SOPHOS - XG(S) - SSD-Lebensdauer prüfen
😉
Wenn die Lebensdauer der SSD jedoch i.O. ist, dann würde ich mir schon eher mehr Sorgen machen. Denn dann könnte es nämlich sein, das die entsprechende FortiGate eventuell hops genommen wurde und nachdem die Angreifer ihr Werk verrichtet haben, wie z.B. Daten abgezogen, haben die eventuell einfach die Appliance zurückgesetzt, um sämtliche darauf befindliche Spuren zu verwischen. 😔
Mal eine ganz andere Frage.
Warum musste den der entsprechende Dienstleister eigentlich die Konfiguration komplett neu machen, gab es etwa kein Konfigurationsbackup?
Gruss Alex
Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.
bevor der nächste Monsun kommt, musste ich gestern noch dringend aufs Dach krappseln, deshalb musste ich mich bei meiner gestrigen Antwort auch etwas beeilen.
Die Lebensdauer der SSD einer FortiGate, müsste sich eigentlich genauso auslesen lassen wie auch die bei einer Sophos XG(S), da ja beide auf einem Pinguin laufen. 🙃
SOPHOS - XG(S) - SSD-Lebensdauer prüfen
😉
Wenn die Lebensdauer der SSD jedoch i.O. ist, dann würde ich mir schon eher mehr Sorgen machen. Denn dann könnte es nämlich sein, das die entsprechende FortiGate eventuell hops genommen wurde und nachdem die Angreifer ihr Werk verrichtet haben, wie z.B. Daten abgezogen, haben die eventuell einfach die Appliance zurückgesetzt, um sämtliche darauf befindliche Spuren zu verwischen. 😔
Mal eine ganz andere Frage.
Warum musste den der entsprechende Dienstleister eigentlich die Konfiguration komplett neu machen, gab es etwa kein Konfigurationsbackup?
Gruss Alex
Fortinet? FortiGate?
Hallo,
wenn die gehackt worden sind, dann hat der Hacker den Reset eher gemacht für die vergebliche Mühe die er sich gemacht hat. Und nicht um seine Spuren zu verwischen;=) Wüsste nicht was man da abgreifen kann.
Der "Händler" verkauft dem Kunden alles, Firewall, Forti Switche, Panda Cloud, MS Cloud und sämtliches Cloud MS Security Gedöns was man für Geld bekommen kann. Weil man das braucht und es nur so sicher ist. Der Kunde lässt sich sowas gerne andrehen;=)
Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.
Ich frage da aber mal gerne nach ob die was kommuniziert haben.
wenn die gehackt worden sind, dann hat der Hacker den Reset eher gemacht für die vergebliche Mühe die er sich gemacht hat. Und nicht um seine Spuren zu verwischen;=) Wüsste nicht was man da abgreifen kann.
Der "Händler" verkauft dem Kunden alles, Firewall, Forti Switche, Panda Cloud, MS Cloud und sämtliches Cloud MS Security Gedöns was man für Geld bekommen kann. Weil man das braucht und es nur so sicher ist. Der Kunde lässt sich sowas gerne andrehen;=)
Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.
Ich frage da aber mal gerne nach ob die was kommuniziert haben.
Moin @Justman10000,
"Fortinet" ist der Hersteller eines "FortiGate".
https://www.fortinet.com/de/products/next-generation-firewall
😉
Gruss Alex
Fortinet? FortiGate?
"Fortinet" ist der Hersteller eines "FortiGate".
https://www.fortinet.com/de/products/next-generation-firewall
😉
Gruss Alex
Moin @Snagless,
wenn der entsprechende Kunde einen lokalen Exchange hat, dann schau mal bitte auf diesem nach, ob dort in letzter Zeit irgendwelche Postfächer exportiert wurden.
PowerShell (als Administrator starten)
ach ja, was soll ich jetzt dazu sagen, nachdem ich bei grösseren KMU's schon Umgebungen mit sauteuren PaloAltos gesehen habe, wo im FireWall-Regelwerk ganz unten eine "von any mit any zu any allow" Regel angelegt war. 😔ðŸ˜
Sprich, nur weil man ein par Security-Produkte gekauft hat, heisst es noch lange nicht, dass man alleine nur dadurch auch gleich sicherer ist. Denn man muss diesen ganzen Security-Zoo auch richtig beherrschen können, den sonst geht der Schuss meistens nur nach hinten und oder ins eigene Knie. 😔
Gruss Alex
wenn die gehackt worden sind, dann hat der Hacker den Reset eher gemacht für die vergebliche Mühe die er sich gemacht hat. Und nicht um seine Spuren zu verwischen;=) Wüsste nicht was man da abgreifen kann.
wenn der entsprechende Kunde einen lokalen Exchange hat, dann schau mal bitte auf diesem nach, ob dort in letzter Zeit irgendwelche Postfächer exportiert wurden.
PowerShell (als Administrator starten)
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
Get-MailboxExportRequestDer "Händler" verkauft dem Kunden alles, Firewall, Forti Switche, Panda Cloud, MS Cloud und sämtliches Cloud MS Security Gedöns was man für Geld bekommen kann. Weil man das braucht und es nur so sicher ist. Der Kunde lässt sich sowas gerne andrehen;=)
Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.
Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.
ach ja, was soll ich jetzt dazu sagen, nachdem ich bei grösseren KMU's schon Umgebungen mit sauteuren PaloAltos gesehen habe, wo im FireWall-Regelwerk ganz unten eine "von any mit any zu any allow" Regel angelegt war. 😔ðŸ˜
Sprich, nur weil man ein par Security-Produkte gekauft hat, heisst es noch lange nicht, dass man alleine nur dadurch auch gleich sicherer ist. Denn man muss diesen ganzen Security-Zoo auch richtig beherrschen können, den sonst geht der Schuss meistens nur nach hinten und oder ins eigene Knie. 😔
Gruss Alex
Nur für Unternehmen! Daher schlecht
Moin @Justman10000,
und was möchtest du uns damit den nun genau mitteilen?
Denn bisher verstehe ich nur Bahnhof.
Gruss Alex
Nur für Unternehmen! Daher schlecht
und was möchtest du uns damit den nun genau mitteilen?
Denn bisher verstehe ich nur Bahnhof.
Gruss Alex