20. März 2025
Beschreibung
CERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei
denen Cyberkriminelle bekannte kritische Schwachstellen in FortiOS- und
FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen es
Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren
Geräten zu erlangen und langfristige Persistenz einzurichten.
Besonders auffällig ist, dass die Angreifer nach der erfolgreichen
Infektion und Einrichtung ihrer Persistenz die Software betroffener
Geräte selbst aktualisieren. Dies dient der Verschleierung und
verhindert, dass weitere Angreifer dieselbe Sicherheitslücke erneut
ausnutzen können. Organisationen könnten daher fälschlicherweise
annehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl
sie bereits kompromittiert sind.
CVE-Nummer(n): CVE-2024-55591, CVE-2025-24472
Auswirkungen
Angreifer können durch Ausnutzung der Schwachstellen vollständigen
administrativen Zugriff auf anfällige Fortinet-Geräte erlangen. In
beobachteten Angriffen erstellen die Angreifer persistente
Administrator-Accounts, laden Konfigurationsdateien herunter, erlangen
VPN-Zugang und bewegen sich lateral im Netzwerk. Das endgültige Ziel
ist die Verbreitung von Ransomware.
Die Angriffe können zu folgenden Schäden führen:
* Vollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur
* Datendiebstahl vor der Verschlüsselung
* Verschlüsselung von kritischen Servern und Dateien
* Erpressung durch Lösegeldforderungen
Betroffene Systeme
* FortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten
Management-Schnittstellen, aber auch bereits gepatchte mit
Persistenz
Abhilfe
CERT.at empfiehlt dringend:
* Sofortige forensische Untersuchung aller Fortinet-Geräte, die nach
dem 27. Jänner 2025 noch verwundbar waren, auch wenn diese
inzwischen vermeintlich gepatcht erscheinen.
* Überprüfung und Löschung unbekannter Administrator- und VPN-Konten
sowie verdächtiger Automatisierungsaufgaben.
* Konsequente Beschränkung des externen Zugriffs auf
Management-Schnittstellen.
* Sofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die
die Schwachstellen CVE-2024-55591 und CVE-2025-24472 beheben,
sofern nicht bereits geschehen.
Hinweis
Wir haben die Betreiber von verwundbaren Geräten erneut über die uns
bekannten Abuse-Kontakte informiert.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Blog von Forescout Research - Vedere Labs (englisch)
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vu…
Fortinet Advisory FG-IR-24-535 (englisch)
https://www.fortiguard.com/psirt/FG-IR-24-535
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
04. März 2025
Beschreibung
In VMware ESXi, Workstation und Fusion existieren mehrere kritische
Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden.
Diese ermöglichen unter anderem die Ausführung von beliebigem Code und
die Offenlegung von Informationen.
CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
CVSS Base Score: bis zu 9.3 (kritisch)
Auswirkungen
Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein
"Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem
Heap-Überlauf führt. Angreifer mit Administratorrechten in einer
virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host
ausführen und somit aus der VM ausbrechen.
Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht
beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des
VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und
aus der Sandbox ausbrechen.
Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das
unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb
vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit
können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem
VMX-Prozess auslesen.
Betroffene Systeme
* VMware ESXi 8.0 und 7.0
* VMware Workstation Pro / Player 17.x
* VMware Fusion 13.x
* VMware Cloud Foundation 5.x und 4.5.x
* VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
* VMware Telco Cloud Infrastructure 3.x, 2.x
Abhilfe
VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit,
deren umgehende Installation dringend empfohlen wird:
ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der
Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die
Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/externa…
FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004
Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workst…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
23. Jänner 2025
Beschreibung
In SonicWall SMA1000 Appliance Management Console (AMC) und Central
Management Console (CMC) wurde eine kritische Sicherheitslücke
entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die
Schwachstelle ermöglicht die Ausführung von beliebigem Code ohne
vorherige Authentifizierung.
CVE-Nummer(n): CVE-2025-23006
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann aus der Ferne beliebige
Betriebssystembefehle auf dem betroffenen Gerät ausführen. Die
Schwachstelle wird bereits aktiv von Bedrohungsakteuren ausgenutzt.
Betroffene Systeme
SonicWall SMA1000 Version 12.4.3-02804 und älter
Hinweis: SonicWall Firewall und SMA 100 Serie sind nicht betroffen.
Abhilfe
SonicWall hat ein Update veröffentlicht, das die Schwachstelle behebt.
Betroffene Systeme sollten umgehend auf Version
12.4.3-02854 (platform-hotfix) oder höher aktualisiert werden.
Als Workaround sollte der Zugriff auf die Appliance Management Console
(AMC) und Central Management Console (CMC) auf vertrauenswürdige
Quellen beschränkt werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
SonicWall Security Advisory SNWLID-2025-0002
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
07. Jänner 2025
Beschreibung
Der Hersteller Sonicwall hat seine Kunden darüber informiert, dass
einige Geräte von Sicherheitslücken betroffen sind. Besonders
hervorzuheben ist dabei eine bereits angegriffenen Lücke bei denen
Angreifer:innen die Authentifizierung in SonicOS SSLVPN umgehen können.
CVE-Nummer(n): CVE-2024-53704
CVSS Base Score: 8.2
Auswirkungen
Unauthentifizierte Angreifer:innen können durch Ausnutzen der Lücke auf
betroffenen Geräten unter Umständen kryptographische Token vorhersagen
und die Authentifizierung umgehen.
Betroffene Systeme
* Gen 6 / 6.5 Hardware Firewalls: SonicOS < 6.5.5.1-6n
* Gen 6 / 6.5 NSv Firewalls: SonicOS < 6.5.4.v-21s-RC2457
* Gen 7 Firewalls: SonicOS < 7.0.1-5165 und < 7.1.3.7015
* TZ80: SonicOS 8.0.0-8037
Abhilfe
Zur Zeit stehen keine Sicherheitsaktualisierungen zur Verfügung.
Administrator:innen sind angehalten SSL-VPN oder SSH-Management auf
betroffenen Geräten zu deaktivieren um eine Ausnutzung der
Schwachstelle zu verhindern.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Zero-Day-Sicherheitslücke in Sonicwall SSL-VPN wird angegriffen
https://www.heise.de/news/Zero-Day-Sicherheitsluecke-in-Sonicwall-SSL-VPN-w…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien