[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke dafür). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden über einen möglichen Datenabfluss über deren zentrale Admin-Oberfläche für Fortigate.

Fortinet SASE der Telekom

Die Deutsche Telekom bietet für Business-Kunden SD-WAN auf Basis Fortinet an und wirbt mit einer “umfassenden Sicherheitsstrategie für die Digitalisierung Ihres Netzwerkes”.

Telekom SD-WAN auf Basis Fortinet ist Bestandteil des voll integrierten Security Ökosystems mit einem zentralen Management, wirbt der Anbieter – also eine Lösung aus einer Hand, wo sich der Kunde nicht um die Fortinet-Infrastruktur kümmern muss.

FortiManager-Schwachstelle CVE-2024-47575

Zum 30. Oktober 2024 hat Fortinet den Sicherheitshinweis Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation zum FortiManager veröffentlicht.

Fortinet hat seinen Sicherheitshinweis zu einer kritischen FortiManager-Schwachstelle (CVE-2024-47575) aktualisiert und dabei zusätzliche Umgehungsmöglichkeiten und Kompromissindikatoren (IOCs) hinzugefügt. Ein nicht authentifizierter Cyber-Bedrohungsakteur könnte diese Schwachstelle remote ausnutzen, um Zugriff auf sensible Dateien zu erhalten oder die Kontrolle über ein betroffenes System zu übernehmen. Fortinet hatte Mitte Oktober 2024 Patches zum Schließen der Schwachstelle veröffentlicht.

Es hat bei der Telekom gescheppert

Ein Blog-Leser, der Kunde bei der Deutsche Telekom ist und die obige Fortinet-Lösung nutzt, hat sich per E-Mail bei mir gemeldet (danke dafür). Er wurde von der Telekom zum 7. November 2024 über “einen Datenabfluss” informiert. Der Meldung entnehme ich, dass Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat.

Laut Telekom-Mitteilung wurde der Patch zum Schließen der Schwachstelle unmittelbar, d.h. bereits am 24. Oktober 2024, installiert. Aber es gab eine Kompromittierung, die die Telekom auf Grund eigener forensischer Untersuchungen festgestellt hat.

Bereits rund einen Monat (am 22. und 23. September 2024) bevor Fortinet seine Schwachstelle veröffentlicht hat, sind zwei unautorisierte Zugriffe auf den zentralen FortiManager der Deutsche Telekom erfolgt. Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Fortinet hat die Telekom informiert, dass die Angreifer auf folgende Daten zugegriffen haben können:

• Admin Users Accounts
• Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
• VPN Pre-Shared Keys
• Local user accounts
• TACACS Key
• LDAP / Active Directory Passwords
• RADIUS Secret Keys
• SNMP Secrets
• OSPF/BGP Neighbour Passwords
• Wireless SSID / Mesh Keys
• Passwords stored inside automation stitches
• PPPoE Passwords
• SMTP Passwords
• HA Pre-shared Keys Cluster Password
• Konfigurationsdaten der Firewall

Also quasi die Kronjuwelen der Kunden. Die Telekom schreibt: “Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.”

Die Telekom fordert Kunden zur Sicherung der Firewalls auf, alle oben genannten Passwörter und Schlüssel auf der Kunden-Firewall (sofern diese die Firewall selbst administrieren) zu ändern. Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führt diese die notwendigen Maßnahmen in Abstimmung mit den Kunden durch. Die Telekom gibt an, bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert zu haben.

Mitteilung der Deutsche Telekom – Information über Maßnahmen zur Schließung der Sicherheitslücke Fortinet FortiManager

Sehr geehrte Damen und Herren,

seit unser Lieferant Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat, beobachten wir die Situation sehr aufmerksam. Zwar haben wir diesen Patch – wie vom Hersteller empfohlen – unmittelbar am 24. Oktober entsprechend eingesetzt. Aus heutiger Sicht möchten wir Sie dennoch bitten, unverzüglich weitere Maßnahmen zu ergreifen.

Wir haben mit eigenen forensischen Untersuchungen festgestellt, dass bereits rund einen Monat bevor Fortinet seine Schwachstelle veröffentlicht hat, zwei unautorisierte Zugriffe auf unseren zentralen FortiManager erfolgt sind (22. und 23. September 2024). Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Wir haben Fortinet hierzu kontaktiert. Das Unternehmen gibt an, dass es sich dabei um folgende Daten handeln könnte:

Admin Users Accounts
Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
VPN Pre-Shared Keys
Local user accounts
TACACS Key
LDAP / Active Directory Passwords
RADIUS Secret Keys
SNMP Secrets
OSPF/BGP Neighbour Passwords
Wireless SSID / Mesh Keys
Passwords stored inside automation stitches
PPPoE Passwords
SMTP Passwords
HA Pre-shared Keys Cluster Password
Konfigurationsdaten der Firewall

Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.

Um Ihre Firewall vor unautorisierten Zugriffen zu schützen, ändern Sie bitte alle der oben genannten Passwörter und Schlüssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren). Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führen wir die notwendigen Maßnahmen in Abstimmung mit Ihnen durch.

Wir haben unsererseits bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert.

Nähere Details über diese Sicherheitslücke finden sich hier oder hier.