mysticfoxde
Goto Top

FORTINET - Chinesische Hacker könnten laut MIVD 20.000 FortiGates geknackt haben

Moin Zusammen,

laut einer Aussage des MIVD (Dutch Military Intelligence and Security Service), könnten weltweit bis zu 20.000 FortiGates durch chinesische Hacker kompromittiert worden sein.

https://www.bleepingcomputer.com/news/security/chinese-hackers-breached- ...

"As the MIVD disclosed in February in a joint report with the General Intelligence and Security Service (AIVD), Chinese hackers exploited a critical FortiOS/FortiProxy remote code execution vulnerability (CVE-2022-42475) over a few months between 2022 and 2023 to deploy malware on vulnerable Fortigate network security appliances."

"Since February, the Dutch military intelligence service has discovered that the Chinese threat group obtained access to at least 20,000 FortiGate systems worldwide in 2022 and 2023 over a span of a few months, at least two months before Fortinet disclosed the CVE-2022-42475 vulnerability."

"The MIVD believes the Chinese hackers still have access to many victims because the Coathanger malware is difficult to detect as it intercepts system calls to avoid revealing its presence and is also challenging to remove since it survives firmware upgrades."

😔

Weitere Infos:
https://arstechnica.com/security/2024/06/china-state-hackers-infected-20 ...

Gruss Alex

Content-Key: 3416652198

Url: https://administrator.de/contentid/3416652198

Printed on: July 14, 2024 at 16:07 o'clock

Member: kpunkt
kpunkt Jun 12, 2024 at 06:05:22 (UTC)
Goto Top
Der PSIRT Blog dazu
Member: Snagless
Snagless Jun 12, 2024 at 13:29:01 (UTC)
Goto Top
Hallo,

weil gerade Fortinet - bei einem unserer Kunden, da machen wir nur TK - war vor ca. 2 Wochen die Config der Fortinet weg.

Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.

LG
Snagless
Member: MysticFoxDE
MysticFoxDE Jun 12, 2024 at 13:57:22 (UTC)
Goto Top
Moin @Snagless,

Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.

ja, das kann schon passieren, wenn z.B. deren SSD am verrecken ist.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jun 13, 2024 at 05:08:17 (UTC)
Goto Top
Moin @Snagless,

Angeblich "einfach so" - kann sich jemand so ein Szenario vorstellen oder kennt das, das die Firewall einfach die Konfig vergisst? Ich kenne die Teile jetzt nicht und deshalb mal die Frage hier in die Runde. Das betreuende Händler hat dann 2 Tage gebraucht bis wieder alles gelaufen ist.

bevor der nächste Monsun kommt, musste ich gestern noch dringend aufs Dach krappseln, deshalb musste ich mich bei meiner gestrigen Antwort auch etwas beeilen.

Die Lebensdauer der SSD einer FortiGate, müsste sich eigentlich genauso auslesen lassen wie auch die bei einer Sophos XG(S), da ja beide auf einem Pinguin laufen. 🙃

SOPHOS - XG(S) - SSD-Lebensdauer prüfen
😉

Wenn die Lebensdauer der SSD jedoch i.O. ist, dann würde ich mir schon eher mehr Sorgen machen. Denn dann könnte es nämlich sein, das die entsprechende FortiGate eventuell hops genommen wurde und nachdem die Angreifer ihr Werk verrichtet haben, wie z.B. Daten abgezogen, haben die eventuell einfach die Appliance zurückgesetzt, um sämtliche darauf befindliche Spuren zu verwischen. 😔

Mal eine ganz andere Frage.
Warum musste den der entsprechende Dienstleister eigentlich die Konfiguration komplett neu machen, gab es etwa kein Konfigurationsbackup?

Gruss Alex
Member: Justman10000
Justman10000 Jun 13, 2024 at 10:51:32 (UTC)
Goto Top
Fortinet? FortiGate?
Member: Snagless
Snagless Jun 13, 2024 at 20:35:04 (UTC)
Goto Top
Hallo,

wenn die gehackt worden sind, dann hat der Hacker den Reset eher gemacht für die vergebliche Mühe die er sich gemacht hat. Und nicht um seine Spuren zu verwischen;=) Wüsste nicht was man da abgreifen kann.

Der "Händler" verkauft dem Kunden alles, Firewall, Forti Switche, Panda Cloud, MS Cloud und sämtliches Cloud MS Security Gedöns was man für Geld bekommen kann. Weil man das braucht und es nur so sicher ist. Der Kunde lässt sich sowas gerne andrehen;=)

Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.

Ich frage da aber mal gerne nach ob die was kommuniziert haben.
Member: MysticFoxDE
MysticFoxDE Jun 14, 2024 at 05:03:56 (UTC)
Goto Top
Moin @Justman10000,

Fortinet? FortiGate?

"Fortinet" ist der Hersteller eines "FortiGate".

https://www.fortinet.com/de/products/next-generation-firewall
😉

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jun 14, 2024 at 05:25:16 (UTC)
Goto Top
Moin @Snagless,

wenn die gehackt worden sind, dann hat der Hacker den Reset eher gemacht für die vergebliche Mühe die er sich gemacht hat. Und nicht um seine Spuren zu verwischen;=) Wüsste nicht was man da abgreifen kann.

wenn der entsprechende Kunde einen lokalen Exchange hat, dann schau mal bitte auf diesem nach, ob dort in letzter Zeit irgendwelche Postfächer exportiert wurden.

PowerShell (als Administrator starten)
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
Get-MailboxExportRequest

Der "Händler" verkauft dem Kunden alles, Firewall, Forti Switche, Panda Cloud, MS Cloud und sämtliches Cloud MS Security Gedöns was man für Geld bekommen kann. Weil man das braucht und es nur so sicher ist. Der Kunde lässt sich sowas gerne andrehen;=)

Wenn ich da mal ein Gerät ins Netz hänge dann kann/darf das alles ohne das man was freischalten muss. 1 Netzsegment und ganze 5 PCs.

ach ja, was soll ich jetzt dazu sagen, nachdem ich bei grösseren KMU's schon Umgebungen mit sauteuren PaloAltos gesehen habe, wo im FireWall-Regelwerk ganz unten eine "von any mit any zu any allow" Regel angelegt war. 😔😭

Sprich, nur weil man ein par Security-Produkte gekauft hat, heisst es noch lange nicht, dass man alleine nur dadurch auch gleich sicherer ist. Denn man muss diesen ganzen Security-Zoo auch richtig beherrschen können, den sonst geht der Schuss meistens nur nach hinten und oder ins eigene Knie. 😔

Gruss Alex
Member: Justman10000
Justman10000 Jun 15, 2024 at 12:03:20 (UTC)
Goto Top
Nur für Unternehmen! Daher schlecht
Member: MysticFoxDE
MysticFoxDE Jun 16, 2024 at 06:04:18 (UTC)
Goto Top
Moin @Justman10000,

Nur für Unternehmen! Daher schlecht

und was möchtest du uns damit den nun genau mitteilen?

Denn bisher verstehe ich nur Bahnhof.

Gruss Alex
Member: Justman10000
Justman10000 Jun 19, 2024 at 12:20:17 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @Justman10000,

Nur für Unternehmen! Daher schlecht

und was möchtest du uns damit den nun genau mitteilen?

Denn bisher verstehe ich nur Bahnhof.

Gruss Alex

Nicht so wichtig