Ein tiefes Schlagloch ist ein Problem. Es kann zu Schäden an Fahrzeugen und zu Verletzungen bei Fußgängern führen. Man sollte meinen, dass das einfach lösbar wäre. Doch wer sich die Arbeit sparen will, stellt einfach ein Schild auf, das sagt „Bitte um das Schlagloch herum fahren!“.
Schwächen in einem System zu beheben, indem man Nutzer zum Ändern von Verhaltensweisen auffordert schlägt da in eine ähnliche Kerbe– kann man machen, sollte dann aber nicht überrascht sein wenn sich niemand daran hält. Auf ähnliche Art und Weise hat Fortinet eine bereits im November 2019 (vor über vier Jahren also!) gemeldete Sicherheitslücke „behoben“. In der Firmware einer Firewall-Appliance war für alle derselbe Standard- Kryptoschlüssel eingetragen.
Die Lösung des Herstellers für dieses Problem: „Bitte nutzt einen anderen Schlüssel“.
Rhetorische Frage: Haben das alle gemacht, die betroffen waren?
Alte Lücke, neue Wirkung
Springen wir vier Jahre weiter. Das Incident Response Team von G DATA Advanced Analytics war dabei, im Zuge einer Untersuchung den initialen Einfallsvektor zu identifizieren. In diesem Fall handelte es sich um ein kompromittiertes Gastkonto in einem VPN. Aber wie kamen die Angreifer an das Passwort? Nach einigen unbefriedigenden Antworten, machten sich Matthias Barkhausen und Hendrik Eckardt auf die Suche nach einer ausführlichen Antwort. Dabei sind Ihnen veraltete Sicherheitsmaßnahmen, schlechte Passworthygiene und weiteren Praktiken, die schon lange nicht mehr aktuellen Sicherheitsstandards genügen begegnet – sowie die oben beschriebene Sicherheitslücke der eingesetzten Firewall-Appliance. Allerdings fanden die beiden bei ihren Recherchen zusätzlich heraus, dass sich mittels dieser Sicherheitslücke kundenspezifische VPN-Passwörter in einem verschlüsselten Konfigurations-Backup entschlüsseln lassen. Angreifer können somit ohne viel Aufwand valide Zugangsdaten zu einem Netzwerk erhalten – so wie in diesem Fall auch.
Zugangsdaten auf dem Silbertablett
Mit dieser Kombination von zwei Sicherheitslücken können also ohne Anpassung der Standardeinstellung verschlüsselte Passwörter aus Konfigurations-Backups ausgelesen und für zum Beispiel eine Ransomware Attacke genutzt werden. Die Lücke mit der Kennung CVE-2024-21754 ist bereits an den Hersteller gemeldet und wurde am 11. Juni 2024 in FortiOS 7.4.4 behoben.
Mehr dazu im Blog von G DATA Advanced Analytics auf cyber.wtf (Artikel in englischer Sprache; Link öffnet sich in neuem Fenster)
Timeline
Die Timeline war in diesem Falle länger als erwartet. Der Responsible Disclosure-Prozess ist im Oktober 2023 angelaufen. Am 2. Januar 2024 wurde die CVE-Kennung vergeben. Behoben wurde die Sicherheitslücke schließlich mit einem Update am 10. Juni 2024; das Advisory dazu erschien am 11. Juni. (Link wird in einem neuen Fenster geöffnet). Angesichts der sonst branchernüblichen 90 Tage, die ein Hersteller zur Behebung einer Sicherheitslücke Zeit hat, bevor der oder die Entdecker damit an die Öffentlichkeit gehen können, scheinen 243 Tage doch sehr lang, slebst wenn es sich nicht um einen "katastrophalen" Lapsus handelt, der mit einem weit höheren CVE-Score bedacht würde.