Chinesische Cyber-Spionage-Kampagne trifft tausende FortiGate Firewalls

10. Juni 2024 – Der niederländische Nationale Cyber Security Center (NCSC) hat zusammen mit dem Militärischen Nachrichtendienst (MIVD) und dem Allgemeinen Nachrichtendienst (AIVD) eine fortgesetzte, staatlich unterstützte chinesische Cyber-Spionage-Kampagne aufgedeckt. Diese Kampagne, die als COATHANGER bekannt ist, nutzt Schwachstellen in FortiGate-Firewalls aus und hat sich als wesentlich umfangreicher erwiesen, als ursprünglich angenommen.

Eine Untersuchung des MIVD hat ergeben, dass die COATHANGER-Malware mindestens 20.000 FortiGate-Geräte weltweit in den Jahren 2022 und 2023 kompromittiert hat. Dabei wurde eine Schwachstelle (CVE-2022-42475) ausgenutzt, die der Angreifer bereits zwei Monate vor ihrer offiziellen Bekanntmachung kannte. Während dieser Zero-Day-Periode wurden bis zu 14.000 Geräte infiziert, darunter Systeme von westlichen Regierungen, diplomatischen Institutionen und Unternehmen der Verteidigungsindustrie.

Die Malware ermöglichte es dem Angreifer, dauerhaften Zugang zu den kompromittierten Systemen zu erlangen, selbst wenn die Opfer FortiGate-Updates installiert hatten. Es ist unklar, wie viele dieser Geräte tatsächlich für weiterführende Operationen genutzt wurden, aber die niederländischen Nachrichtendienste halten es für wahrscheinlich, dass der Angreifer seine Zugriffe erweitert und möglicherweise Daten gestohlen hat, was weltweit Hunderte von Opfern betreffen könnte.

Das NCSC warnt vor den Risiken, die mit Edge-Geräten wie Firewalls, VPN-Servern und Routern verbunden sind, da diese häufig anfällig und nicht durch Endpunkterkennungslösungen geschützt sind. Sie rufen zu erhöhter Wachsamkeit auf und empfehlen Organisationen, das „Assume Breach“-Prinzip anzuwenden, um den Schaden durch mögliche Angriffe zu minimieren.

Um die Risiken zu managen, hat das NCSC ein Faktenblatt veröffentlicht, das Herausforderungen und Sicherheitsmaßnahmen für den Umgang mit Edge-Geräten detailliert beschreibt.

Related Posts

Kritische SicherheitslĂĽcken in Fuji Electric Monitouch V-SFT

Am 4. Juni 2024 veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) eine kritische Sicherheitswarnung bezüglich des Bildschirmkonfigurationssoftware Monitouch V-SFT von Fuji Electric.

Read More

PHP: Command Injection SicherheitslĂĽcken in composer entdeckt

Composer, das weit verbreitete PHP-Dependency-Management-Tool, ist von zwei schwerwiegenden Sicherheitslücken betroffen, die die Ausführung von Schadcode durch speziell manipulierte Git- und Mercurial-Branch-Namen ermöglichen. Diese Schwachstellen, katalogisiert unter den CVE-Nummern CVE-2024-35241 und CVE-2024-35242, wurden von Seldaek im GitHub Security Advisory (GHSA) vor zwei Tagen veröffentlicht.

Read More

Schwere SicherheitslĂĽcke in SAP Financial Consolidation

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in SAP Financial Consolidation unter der Kennung CVE-2024-37177 bekannt. SAP Financial Consolidation ist eine Softwarelösung, die Finanzdaten aus verschiedenen Quellen konsolidiert, um einheitliche Finanzberichte zu erstellen. Die Sicherheitslücke CVE-2024-37177 resultiert aus der Tatsache, dass die Anwendung Daten von unzuverlässigen Quellen akzeptiert und diese über das Netzwerk zugänglich macht. Dies eröffnet Angreifern die Möglichkeit, den Inhalt der Webanwendung zu modifizieren. Die Gefahr dabei ist, dass Angreifer möglicherweise sensible Daten einsehen oder verfälschen können.

Read More