Fortinet rapporteert een ernstige kwetsbaarheid in zijn FortiGate-firewalls. Een patch is beschikbaar, maar dat kan voor vele bedrijven al te laat zijn.
Beveiligingsleverancier Fortinet heeft een bulletin gedeeld met informatie over kwetsbaarheden in FortiOS en FortiProxy, de software die draait op de FortiGate-firewalls van het bedrijf. Deze worden op dit moment actief onder vuur genomen door aanvallers. De kwetsbaarheid staat aanvallers toe de authenticatie te omzeilen en zich vanop afstand superadmin-privileges toe te kennen om zo vrij rond te kunnen wandelen in het bedrijfsnetwerk.
lees ook
Strijden met gelijke wapens: hoe AI kan helpen bij het uitwerken van een efficiëntere SecOps-strategie?
Fortinet waarschuwt dat de kwetsbaarheid op dit moment actief wordt uitgebuit en verzoekt klanten zo snel mogelijk een update uit te voeren. Dat advies wordt herhaald door het Amerikaanse cybersecurityagentschap CISA. Met een CVSS-score van 9.6 op een schaal van tien krijgt de kwetsbaarheid het label ‘kritiek’.
In het bulletin somt Fortinet de aangetaste versies van FortiOS en FortiProxy op. FortiOS 7.0 tot 7.0.16 zijn aangetast en dienen bijgewerkt te worden naar versie 7.0.17 of nieuwer. Voor FortiProxy zijn versies 7.0 tot 7.0.19 en 7.2 tot 7.2.12 kwetsbaar. Ook hier is upgraden naar een veilige versie de boodschap om de poorten van FortiGate toe te houden.
Pleister op de wonde
De patch komt deze keer misschien wel te laat. Beveiligingsfirma Arctic Wolf merkte in december een piek in ‘verdachte activiteiten’ rond de FortiGate-firewalls. Op dat moment was de kwetsbaarheid nog een zero-day die niet op de radar van Fortinet stond. Hoeveel bedrijven in die periode zouden kunnen getroffen zijn, is onbekend. Verder onderzoek is nodig om de impact van de kwetsbaarheid te kunnen inschatten, besluit Arctic Wolf zijn voorgaande analyse.
Naast het installeren van de firmware-updates worden FortiGate-gebruikers aangespoord om in de logs te zoeken naar sporen van misbruik en de managementinterfaces op de publieke internetverbinding te blokkeren. Arctic Wolf Labs benadrukt dat dergelijke interfaces alleen toegankelijk zouden mogen zijn voor interne gebruikers. Misconfiguraties die externe toegang toestaan, vergroten het aanvalsoppervlak en het risico op misbruik aanzienlijk.
48.000 kwetsbare firewalls
Volgens cijfers van ShadowServer zijn er verspreid over heel de wereldbol 48.146 firewalls die kwetsbaar zijn. Dit gaat dan om apparaten waarvan de eigenaars het advies van Fortinet niet gelezen en de patch dus nog niet geïnstalleerd hebben. 20.000 kwetsbare firewalls staan in Azië, in Europa gaat het om een ruime 7.000. In België staat de teller op een bescheiden 149, maar we hopen dat deze bedrijven zich aangesproken zullen voelen en in actie schieten.
Fortinet heeft de start van 2025 volledig gemist. Naast deze kwetsbaarheid is ook een oud lek uit 2022 weer komen bedrijven, waarbij gegevens van 15.000 FortiGate-apparaten gelekt is. Het toont vooral dat niet één tool volledige bescherming kan bieden, zeker een firewall niet. Wie geen extra verdedigingsmiddelen heeft, is een vogel voor de kat eens aanvallers voorbij de firewall zijn geraakt.
lees ook
Beveiligingstip: een firewall alleen volstaat niet
Dit artikel verscheen origineel op 15 januari en kreeg een update met de recentste informatie.