Fortinet-achterdeur: bijna 1.000 apparaten getroffen in Benelux en Frankrijk

Fortinet

Een achterdeur bij Fortinet brengt een oude kwetsbaarheid opnieuw naar de oppervlakte, ook als een apparaat ertegen gepatcht is. In de Benelux en Frankrijk zijn bijna 1.000 apparaten aangetast.

Fortinet waarschuwde vorige week dat een achterdeur in FortiGate-apparaten actief wordt uitgebuit. De beveiligingsspecialist benadrukt dat er geen nieuwe kwetsbaarheid in de firewalls is geslopen, maar dat aanvallers een manier hebben gevonden om een kwetsbaarheid uit 2022 opnieuw uit te buiten. Ook wie de kwetsbaarheid destijds gepatcht heeft, loopt risico.

De kwetsbaarheid liet aanvallers toe om in de map met taalbestanden symbolische links naar het hoofdbestandssysteem van de firewall te nestelen. Op apparaten waar SSL-VPN aanstaat, zijn taalbestanden publiek toegankelijk en bieden ze zo een vrije weg naar de kern van het apparaat. Nu blijkt dat de patch de symbolische links niet verwijderd heeft, waardoor de kwetsbaarheid dus ook na het patchen opnieuw kan worden uitgebuit.

Fortiner stuurde een mail uit naar klanten wiens FortiGate-apparaat getroffen zijn. Het bedrijf beveelt aan een firmware-update met bijgewerkte AV/IPS-handtekening te installeren die de symbolische links opspoort en onschadelijk maakt. Beheerders worden ook aangespoord hun Fortinet-apparaten opnieuw te configureren.

17.000 getroffen apparaten

De schade is inmiddels al aangebracht. Shadowserver schat het aantal gecompromitteerde apparaten op een ruime 17.000 sinds de aanvallen begonnen op 11 april. Het merendeel staat in Azië, maar ook dichter bij huis zien we slachtoffers. Van de 3.000 getroffen Fortinet-apparaten in Europa zijn 583 te vinden in Frankrijk.

In de Benelux zijn er 349 kwetsbare apparaten volgens Shadowserver. 177 organisaties in Nederland moeten zich zorgen maken en 157 organisaties in België. De schade is met 15 apparaten nog beperkt in Luxemburg. Om te vermijden dat je mee op deze lijst komt, volg je best het advies van Fortinet.

fortinet shadowserver
Bijna 1.000 apparaten in de Benelux en Frankrijk zijn getroffen. Bron: Shadowserver.

Spoken uit het verleden

Fortinet komt de laatste maanden vaker dan dat het bedrijf lief is in het nieuws omwille van kwetsbaarheden in FortiGate of andere producten. Meestal gaat het dan om vers ontdekte zerodays, maar ook spoken uit het verleden blijven Fortinet achtervolgen. Een database met gegevens van 15.000 Fortinet-firewalls verscheen in januari online, buitgemaakt bij een eerder lek in FortiGate.