{
	"id": "bede74ff-8142-4009-a7ec-3d79c5845767",
	"created_at": "2026-04-06T00:11:01.65665Z",
	"updated_at": "2026-04-10T03:21:28.705893Z",
	"deleted_at": null,
	"sha1_hash": "2cd1f73a57d1c3a5fb984b2afaea6044819d9efd",
	"title": "CERT.at - Show",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 49795,
	"plain_text": "CERT.at - Show\r\nArchived: 2026-04-05 21:33:12 UTC\r\n20. März 2025\r\nBeschreibung\r\nCERT.at beobachtet weiterhin eine Welle von Ransomware-Angriffen, bei denen Cyberkriminelle bekannte\r\nkritische Schwachstellen in FortiOS- und FortiProxy-Geräten gezielt ausnutzen. Die Schwachstellen ermöglichen\r\nes Angreifern, unauthentifiziert super_admin-Rechte auf verwundbaren Geräten zu erlangen und langfristige\r\nPersistenz einzurichten.\r\nBesonders auffällig ist, dass die Angreifer nach der erfolgreichen Infektion und Einrichtung ihrer Persistenz die\r\nSoftware betroffener Geräte selbst aktualisieren. Dies dient der Verschleierung und verhindert, dass weitere\r\nAngreifer dieselbe Sicherheitslücke erneut ausnutzen können. Organisationen könnten daher fälschlicherweise\r\nannehmen, dass ihre Systeme sicher und aktuell gepatcht seien, obwohl sie bereits kompromittiert sind.\r\nCVE-Nummer(n): CVE-2024-55591, CVE-2025-24472\r\nAuswirkungen\r\nAngreifer können durch Ausnutzung der Schwachstellen vollständigen administrativen Zugriff auf anfällige\r\nFortinet-Geräte erlangen. In beobachteten Angriffen erstellen die Angreifer persistente Administrator-Accounts,\r\nladen Konfigurationsdateien herunter, erlangen VPN-Zugang und bewegen sich lateral im Netzwerk. Das\r\nendgültige Ziel ist die Verbreitung von Ransomware.\r\nDie Angriffe können zu folgenden Schäden führen:\r\nVollständige Kompromittierung der Netzwerk-Sicherheitsinfrastruktur\r\nDatendiebstahl vor der Verschlüsselung\r\nVerschlüsselung von kritischen Servern und Dateien\r\nErpressung durch Lösegeldforderungen\r\nBetroffene Systeme\r\nFortiOS-Geräte in Versionen unterhalb von 7.0.16 mit exponierten Management-Schnittstellen, aber auch\r\nbereits gepatchte mit Persistenz\r\nAbhilfe\r\nCERT.at empfiehlt dringend:\r\nhttps://www.cert.at/de/warnungen/2025/3/ransomware-gruppen-nutzen-weiterhin-kritische-fortinet-schwachstellen-warnung-vor-gepatchten-aber-bereits-kompromittierten-geraten\r\nPage 1 of 2\n\nSofortige forensische Untersuchung aller Fortinet-Geräte, die nach dem 27. Jänner 2025 noch verwundbar\r\nwaren, auch wenn diese inzwischen vermeintlich gepatcht erscheinen.\r\nÜberprüfung und Löschung unbekannter Administrator- und VPN-Konten sowie verdächtiger\r\nAutomatisierungsaufgaben.\r\nKonsequente Beschränkung des externen Zugriffs auf Management-Schnittstellen.\r\nSofortige Aktualisierung aller FortiOS-Geräte auf Versionen, die die Schwachstellen CVE-2024-55591 und\r\nCVE-2025-24472 beheben, sofern nicht bereits geschehen.\r\nHinweis\r\nWir haben die Betreiber von verwundbaren Geräten erneut über die uns bekannten Abuse-Kontakte informiert.\r\nGenerell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische\r\nUpdates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.\r\nInformationsquelle(n):\r\nBlog von Forescout Research - Vedere Labs (englisch)\r\nhttps://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/\r\nFortinet Advisory FG-IR-24-535 (englisch)\r\nhttps://www.fortiguard.com/psirt/FG-IR-24-535\r\nSource: https://www.cert.at/de/warnungen/2025/3/ransomware-gruppen-nutzen-weiterhin-kritische-fortinet-schwachstellen-warnung-vor-gepat\r\nchten-aber-bereits-kompromittierten-geraten\r\nhttps://www.cert.at/de/warnungen/2025/3/ransomware-gruppen-nutzen-weiterhin-kritische-fortinet-schwachstellen-warnung-vor-gepatchten-aber-bereits-kompromittierten-geraten\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"MITRE"
	],
	"references": [
		"https://www.cert.at/de/warnungen/2025/3/ransomware-gruppen-nutzen-weiterhin-kritische-fortinet-schwachstellen-warnung-vor-gepatchten-aber-bereits-kompromittierten-geraten"
	],
	"report_names": [
		"ransomware-gruppen-nutzen-weiterhin-kritische-fortinet-schwachstellen-warnung-vor-gepatchten-aber-bereits-kompromittierten-geraten"
	],
	"threat_actors": [],
	"ts_created_at": 1775434261,
	"ts_updated_at": 1775791288,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2cd1f73a57d1c3a5fb984b2afaea6044819d9efd.pdf",
		"text": "https://archive.orkl.eu/2cd1f73a57d1c3a5fb984b2afaea6044819d9efd.txt",
		"img": "https://archive.orkl.eu/2cd1f73a57d1c3a5fb984b2afaea6044819d9efd.jpg"
	}
}