Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwt voor grootschalig misbruik van een Fortinet-kwetsbaarheid. De campagne heeft de bijnaam 'FortiBleed'. Volgens de organisatie zijn 30.000 tot 70.000 Fortinet-apparaten getroffen. Hierdoor kregen aanvallers op grote schaal toegang tot beveiligde systemen.
Het NCSC raadt potentiële slachtoffers aan om met een tool van cyberbeveiligingsbedrijf Hudson Rock te controleren of zij daadwerkelijk zijn getroffen door infostealers. De overheidsorganisatie voegt daaraan toe dat gebruikers van Fortinet-producten de volgende beveiligingsmaatregelen kunnen treffen:
- Controleer logs op afwijkend gedrag. Overweeg daarnaast IP-whitelisting en het verplichten van tweefactorauthenticatie.
- Check of er nieuwe, verdachte accounts zijn aangemaakt.
- Overweeg om de wachtwoorden van alle beheerders- en gebruikersaccounts te resetten.
- Kijk of beveiligde Secure Shell Protocol-toegang (SSH) is ingeschakeld en of directe blootstelling aan het internet nodig is.
Het is onduidelijk wat de onderliggende oorzaak van de kwetsbaarheid is. Volgens het NCSC is er geen indicatie dat het om een nieuwe kwetsbaarheid gaat, maar om grootschalig actief misbruik van bestaande kwetsbaarheden in het Fortinet-ecosysteem.
Wat is FortiBleed?
FortiBleed is de bijnaam voor een aanvalscampagne die misbruik maakt van kwetsbaarheden in het Fortinet-ecosysteem. Criminelen proberen met bruteforceaanvallen en credential stuffing toegang te krijgen tot systemen via FortiGate, de firewalls van het bedrijf. Ook vpn-gateways van de beveiligingsaanbieder zijn kwetsbaar. Als criminelen eenmaal toegang tot een systeem hebben, kunnen zij bijvoorbeeld meer informatie van slachtoffers stelen. Onder meer Samsung, Foxconn, Siemens, Oracle en Lenovo zouden door de kwetsbaarheid getroffen zijn.
Update, 21.25 uur – Er werd ten onrechte aangenomen dat een eerdere kwetsbaarheid in het Fortinet-ecosysteem misbruikt werd voor de aanval. De links naar die kwetsbaarheid zijn verwijderd. Met dank aan DDX.
/i/2008223468.png?f=imagenormal)
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community)
:strip_icc():strip_exif()/u/722692/crop630f3e867f039_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/352278/crop56730ca93be70_cropped.jpeg?f=community)
/u/1095941/crop6a031212dfa51_cropped.png?f=community)
/u/276779/crop5fa05ec8e06fa_cropped.png?f=community)
:strip_icc():strip_exif()/u/362142/crop5c5080164c7ac_cropped.jpeg?f=community)
:strip_exif()/u/6356/eliza.gif?f=community)
:strip_icc():strip_exif()/u/6611/crop56ab146160cd1_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/229287/CM.jpg?f=community)
:strip_icc():strip_exif()/u/417493/crop58174774d1256.jpeg?f=community)
:strip_exif()/u/23102/anandus.gif?f=community)