Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Bekannte Schwachstelle in Fortinet-VPN ausgenutzt

- Warnmeldung

Die CSBW warnt vor der vermehrten Ausnutzung der Sicherheitslücke CVE-2023-38035 im Fortinet-VPN durch die Ransomware-Gruppe Cactus. Zur Schwachstelle stehen seit August 2023 Updates bereit.
Mensch klickt auf Ausrufezeichen vor Laptopbildschirm

© Adobe Stock

Sicherheitslücke im Fokus von Ransomware

Die Ransomware-Gruppierung Cactus fokussiert ihre Angriffe derzeit auf die Sicherheitslücke CVE-2023-38035 im Fortinet-VPN. Die Zero-Day-Schwachstelle CVE-2023-38035 wurde bereits im August 2023 in der Software Ivanti Sentry entdeckt und durch Updates behoben. 

Ivanti Sentry ist eine Komponente des Fortinet-VPN. Daher ist auch der Fortinet-VPN für CVE-2023-38035 anfällig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte bereits am 22. August 2023 eine Cyber-Sicherheitswarnung zu CVE-2023-38035.

Die Schwachstelle ermöglicht Angreifenden, Authentifizierungen zu umgehen und Zugriff auf interne Netzwerke zu erhalten. Wenn die Ransomware Cactus eingespielt ist, etabliert diese eine dauerhafte Verbindung zu einem Command-and-Control-Server (C2-Server). Weiter bewegt sich Cactus im Netzwerk, um Daten zu exfiltrieren und Systeme zu verschlüsseln.

Bewertung des Vorgehens von Cactus

Die Ransomware Cactus ist ein großes Risiko für Institutionen und Unternehmen, die Fortinet‑VPN einsetzen. Insbesondere kritische Infrastrukturen und sensible Unternehmensdaten sind gefährdet. Daher gehen sowohl von Cactus als auch von CVE-2023-38035 als Einfallstor eine hohe Bedrohung aus. 

Da die Updates auf sichere Versionen von Ivanti Sentry von vielen Nutzenden noch nicht eingespielt wurden, existiert die Sicherheitslücke nach wie vor in zahlreichen Systemen. Deshalb ist die Gefahr einer Ausnutzung groß. 

Empfehlungen der CSBW

  • Wenn Sie einen Fortinet-VPN einsetzen oder Ivanti Sentry in anderen Umgebungen implementiert haben, aktualisieren Sie umgehend auf sichere Versionen von Ivanti Sentry.
  • Prüfen Sie Ihre Systeme auf ungewöhnliche Aktivitäten, insbesondere im Hinblick auf Remote-Zugriffe und Erhöhung von Systemrechten.
  • Überwachen Sie Ihre Netzwerke engmaschig, um unbefugte Zugriffe zu verhindern.
  • Implementieren Sie erweiterte Überwachungs- und Alarmmechanismen, um unautorisierte Zugriffsversuche frühzeitig zu erkennen.
  • Seien Sie wachsam und prüfen Sie Ihre Anwendungen, Programme und Systeme regelmäßig auf Anzeichen möglicher Angriffe.
  • Verwenden Sie ein Virenschutz-Programm sowie Firewalls und aktualisieren Sie diese regelmäßig oder richten Sie automatische Update-Zyklen ein. 

Weitere Informationen