Das von den Antwortteams und den Unternehmen, die die Kampagne untersucht haben, beschriebene Szenario ist direkt und schnell. Laut öffentlichen Berichten von Industriefirmen, Mitte Januar, anomale Zugriffe, einschließlich der Erstellung von Verwaltungskonten mit VPN-Zugang und die Exfiltration von Konfigurationen der betreffenden Ausrüstung in Sekunden begann zu erkennen. Durch die Geschwindigkeit und Gleichmäßigkeit dieser Eingriffe denken Sie an einen automatisierten Prozess, der einen neuen Angriffsweg nutzt oder eine Möglichkeit, die vorherige Korrektur zu zeichnen.
Fortinet hat öffentlich bestätigt, dass die in den letzten Wochen beobachtete Aktivität den im Dezember dokumentierten Betrieben entspricht und dass das Unternehmen daran arbeitet, den für die neuen Intrusionen verantwortlichen Vektor vollständig zu identifizieren und zu beheben. In seiner technischen Anmerkung zum Missbrauch von SSO in FortiOS ( siehe Kommunikation von Fortinet) das Unternehmen erkennt an, dass, obwohl der bekannte Betrieb bisher FortiCloud SSO betroffen hat, das zugrunde liegende Problem mit der SAML SSO-Implementierung im Allgemeinen zusammenhängt.
Die Zeichen, die gemeinsame Kunden und Analysten haben, helfen, einen Teil des Angriffs wieder aufzubauen: In mehreren Zugriffsaufzeichnungen wird festgestellt, dass die Verwaltungskonten nach einem SSO-Login aus der Cloud-init @ Mail erstellt wurden. io-Mail-Adresse und von der IP 104.28.244.114, Übereinstimmungen, die auch von der Sicherheitsfirma identifiziert wurden, die Beobachtungen über die Kampagne veröffentlichte. Fortinet hat seinerseits Verpflichtungsindikatoren aufgelistet, die für die Suche nach Beweisen auf potenziell betroffenen Geräten verwendet werden können ( siehe IOCs geteilt von Fortinet)
Um die Belichtung zu vergrößern, hält die Shadowserver-Überwachungsgruppe ein Team-Tracking mit FortiCloud SSO im Internet frei und ihr Board zeigt rund 11.000 öffentlich zugängliche Geräte mit diesem aktivierten Service ( Shadowserver Panel) Diese Figur erklärt, warum die Hinzufügung der CVE-2025-59718 auf die Liste der aktiv genutzten Schwachstellen der US-Agentur CISA dringende Maßnahmen generierte: Am 16. Dezember hat die CISA diesen Ausfall in ihren Katalog aufgenommen und Bundesagenturen beauftragt, Patches im zeitgebundenen Bereich anzuwenden ( CISA-Anweisung, Eintritt in den Katalog)
In diesem Zusammenhang sind die praktischen Empfehlungen klar und dringend. Fortinet hat vorgeschlagen, den administrativen Zugang aus dem Internet zu begrenzen, indem eine lokale Politik angewendet wird, die IP-Adressen, die zur Verwaltung von Geräten zugelassen sind, einschränkt; offizielle Dokumentation erklärt, wie diese Richtlinie in FortiGate umgesetzt werden soll ( mehr Informationen zur lokalen Politik) Darüber hinaus berät das Unternehmen bei der endgültigen Korrektur, die Möglichkeit zu deaktivieren, sich verwaltungsmäßig mit FortiCloud SSO in Systemeinstellungen einzuloggen und jede Verlobungsspur in den Datensätzen zu überprüfen.
Wenn bei der Überprüfung der Maschinen die mit dieser Kampagne verbundenen Verpflichtungsindikatoren gefunden werden, ist die operative Empfehlung, das Gerät und seine Konfiguration als engagiert zu behandeln: alle relevanten Anmeldeinformationen ändern, einschließlich LDAP / AD-Konten, die freigelegt wurden, und die Konfiguration aus einem als sauber bezeichneten Backup wiederherzustellen. Fortinet hat technische Schritte und Ressourcen in seiner Gemeinde veröffentlicht, um die Antwort zu leiten ( Vorschläge in der Fortinet-Community anzeigen)
Darüber hinaus gibt es zwei Lektionen, die interniert werden sollten. Die erste ist, dass zentralisierte Authentifizierungslösungen wie SAML / SSO, die Komfort und Kontrolle bieten, auch das Risiko konzentrieren: Eine Schwachstelle in dieser Kette von Vertrauen kann einen breiten und schnellen Zugriff auf einen Angreifer geben. Die zweite ist, dass die Anwendung eines Patches nicht gewährleistet, dass die Exposition verschwunden ist; es gibt immer Fälle, in denen alternative Betriebswege entstehen oder die Korrektur keine unvorhergesehenen Szenarien abdeckt. Daher bleiben in kritischen Umgebungen, tiefgreifende Verteidigungsmaßnahmen - Zugriffssegmentierung, IP Whitelisting für Administration, kontinuierliche log Monitoring und Restauration von sauberer Backup - unerlässlich.
Wenn Sie Fortinet in einem Business-Netzwerk verwalten, ist es angebracht, sofort zu handeln: Überprüfen Sie die Konfiguration von FortiCloud SSO, überprüfen Sie kürzlichen Zugriff, wenden Sie Internet-Management-Blöcke und bereiten Sie Antwortpläne, die die Rotation von Anmeldeinformationen und sichere Restauration umfassen. Viele dieser Anweisungen sind in den offiziellen Quellen in diesem Artikel aufgeführt; Überprüfung und folgen Sie ihnen deutlich reduziert die Wahrscheinlichkeit eines ähnlichen Eindringens.
Die Situation entwickelt sich noch, und sowohl Sicherheitsanbieter als auch Hersteller werden weiterhin technische Updates veröffentlichen. Um Sie auf dem neuesten Stand zu halten und Informationen zu vergleichen, überprüfen Sie die Veröffentlichungen der Hersteller und Warnungen von Organismen wie CISA, sowie Berichte von Reaktionsfirmen, die bösartige Aktivität auf dem Gebiet überwachen. In einer Umgebung, in der Angriffe schnell automatisiert und verbreitet werden, sind aktive Prävention und Früherkennung die beste Verteidigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...