Die Sicherheit des Netzes ist nicht mehr nur eine Frage der Sperrung von Häfen und der Filterung von Verkehr: Geräte, die auf dem Umfang platziert werden, wie neue Generation Firewalls (NGFW), haben sich zu Türen von Einfahrt von den Angreifern begehrt. In jüngster Zeit haben Sicherheitsforscher eine Kampagne dokumentiert, in der schädliche Akteure auf FortiGate-Geräte angewiesen haben, den Weg zu Opfernetzwerken zu öffnen, Anmeldeinformationen von Servicekonten zu erhalten und von dort seitlich in kritischer Infrastruktur zu bewegen. Die ausführliche Analyse ist im Bericht verfügbar. Das ist ein, die beschreibt, wie diese Intrusionen von gemeldeten Schwachstellen und schwachen Konfigurationen profitieren.
Ein wesentlicher Aspekt, den die Forscher erklären, ist die privilegierte Rolle, die gut konfigurierte NGFW spielen: Neben der Inspektion und Filterung von Traffic sind viele mit Authentifizierungsdiensten wie Active Directory (AD) oder LDAP integriert, um Benutzer zu identifizieren, Rollenrichtlinien zu implementieren und Vorfälle zu beschleunigen. Diese gleiche Integration, wenn sie in die falschen Hände fällt, wird ein direkter Schritt zu den empfindlichsten Vermögenswerten einer Organisation. Wie die Autoren des Berichts darauf hinweisen, kann der Zugriff auf Service-Account-Anmeldeinformationen eine automatisierte Authentifizierung gegen das Firmenverzeichnis und die Operationen ermöglichen, die aus einem Standard-Account nicht möglich wären.
Der beobachtete Modus operandi beinhaltet die Nutzung bekannter Fehler in der Firmware selbst oder bei der Belichtung schwacher administrativer Anmeldeinformationen, um die Konfigurationsdatei aus dem Gerät zu extrahieren. In mindestens einem dokumentierten Vorfall gelang es den Angreifern, ein lokales Verwaltungskonto mit dem Namen "Unterstützung" zu erstellen und Firewall-Regeln einzurichten, die dieses kreisförmige Konto zwischen Netzbereichen ohne Einschränkungen erlaubten. Dieses Verhalten ist typisch für das, was die sogenannten Erstzugriffsbroker tun: einen dauerhaften und marktfähigen Zugang zu schaffen und zu erhalten, bis andere Kriminelle es kaufen oder verwenden, um schädliche Gebühren zu entsorgen.
Die Chronologie des Angriffs zeigt, wie eine erste Intrusion Monate vergehen kann, wenn sie still ist: Nach Erhalt des Zugriffs kehrten die Gegner Monate später in das Gerät zurück und entfernten die Konfiguration, die verschlüsselte Anmeldeinformationen von LDAP-Diensten enthält. Laut SentinelOne gab es Beweise, dass diese Anmeldeinformationen im Klartext zurückgewonnen wurden und verwendet wurden, um den AD mit dem "fortidcagent" Service-Konto zu authentifizieren. Mit diesem Privileg konnten die Angreifer betrügerische Workstations in der Domäne registrieren, Netzwerk-Sweeps ausführen und in anderen Fällen Remote Access-Tools wie Pulseway und MeshAgit bereitstellen, um die Fernbedienung zu erhalten. Der Bericht dokumentiert auch den Download von Malware aus Cloud-Speicher mit PowerShell und die Ausführung einer Java-Ladung durch DLL-Seitenladung, die die AD-Datenbank (NTDS.dit) und die SYSTEM-Verzweigung des Registers auf einen externen Server (Indikator zitiert: "172.67.196 [.] 232" über Port 443).
Die Tatsache, dass der Angreifer in der Lage war, Daten von NTDS.dit zu extrahieren, ist besonders ernst: Diese Datei speichert Hashes und kritische Objekte der Domain, und seine Diebstahl erleichtert die Anhebung von Passwörtern, die Eskalation von Privilegien und die Vorbereitung von nachfolgenden Kampagnen wie die Bereitstellung von Ansomware oder die Diebstahl von großformatigen Informationen. Microsoft erklärt die Empfindlichkeit der Datei und warum ihre Integrität und Vertraulichkeit in der Verwaltung von Active Directory in der technischen Dokumentation des Verzeichnisdienstes grundlegend sind ( Aktives Verzeichnis: NTDS.DIT)
Diese Arten von Ereignissen veranschaulichen nicht nur das technische Risiko, sondern auch die Folgenkette: Eine Einrichtung zum Schutz des Netzes kann zu einem Hebel werden, um es zu steuern, wenn es nicht auf Patches angewendet wird, wenn ihre Anmeldeinformationen nicht ausreichend geschützt sind, oder wenn es übermäßig erlaubt wird. Fortinet veröffentlicht Sicherheitshinweise und Patches für seine Produkte auf seiner offiziellen Sicherheitshinweise Seite, und Firmware bis heute zu halten ist eine der ersten Verteidigungslinien ( Sicherheitsberater)
Was sollten Organisationen tun, um das Risiko zu reduzieren? Zuerst Patches mit Priorität auf Kantengeräten anwenden und Änderungen in Einstellungen überwachen. Es ist auch von entscheidender Bedeutung, den Umfang und die Privilegien der von der Netzausrüstung verwendeten Servicekonten zu verringern: Wenn ein Gerätekonto mit umfangreichen Genehmigungen gegen AD authentifiziert werden kann, hat sein Engagement eine viel größere Wirkung. Es ist auch angebracht, administrative Funktionen zu segregieren, die Exposition von Management-Schnittstellen auf Trust-Netzwerke oder VPNs zu begrenzen, und den Zugriff kontinuierlich zu prüfen und die Erstellung von privilegierten Konten. All dies wird durch die Rotation und den Schutz von Schlüsseln und Passwörtern, die Implementierung von MFA, soweit möglich und die Überwachung von verdächtigen Abfluss zu Drittinfrastruktur ergänzt.
Die Lektion ist klar: NGFW bringt Wert, weil sie das Netzwerk kennen und mit Kontext handeln können, aber die Sichtbarkeit sollte nicht zu einem einzigen Master-Schlüssel werden. Organisationen, die von diesen Teams abhängen, sollten sie mit der gleichen Härte behandeln, wie sie für kritische Server gelten: schnelle Patches, minimale Konfigurationen, Service-Rollen mit eingeschränkten Privilegien und spezialisierte Überwachung. Die Sicherheitsgemeinschaft und die Lieferanten haben bereits gezeigt, dass die Angreifer auf diese Elemente hinweisen; die praktische Antwort geht, indem die Oberfläche des Angriffs reduziert wird und Verfahren der Erkennung und Reaktion eingestellt werden, wenn zwangsläufig jemand an der ersten Barriere vorbeikommt.
Die technischen Details des Falls und weitere Empfehlungen befinden sich im Bericht SentinelOne, und die Fortinet-Mitteilungen liefern die notwendigen Informationen, um Fehler in bestimmten Versionen zu identifizieren und zu korrigieren. Der Schutz der Eingangstür des Netzwerks erfordert heute nicht nur gute Produkte, sondern eine sorgfältige Wartung und eine Architektur, die annimmt, dass jedes Gerät kompromittiert werden kann und das den Schaden begrenzt, wenn das passiert.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...