Fortinet waarschuwt voor een potentieel zeer ernstige kwetsbaarheid die actief misbruikt wordt, al leek het aanvankelijk niet van plan om erover te communiceren.
Klanten van Fortinet lezen dit nieuws maar beter extra aandachtig. De beveiligingsspecialist communiceert over een kwetsbaarheid in FortiManager, het centrale beheerplatform voor Fortinet-producten. Een ontbrekende authenticatie stelt externen in staat om zich zonder identiteitscontrole in te loggen bij FortiManager en vanop afstand schadelijke code te draaien in het platform via speciaal gemaakte verzoeken”, schrijft Fortinet.
Vanuit FortiManager kunnen de aanvallers zich verder verplaatsen op het netwerk. De kwetsbaarheid (CVE-2024-47575) krijgt dan ook een bijna maximale CVSS-score van 9,8 mee. Om de ernst te benadrukken, zegt Fortinet dat de kwetsbaarheid ook actief misbruikt wordt. Volgens schattingen van experten zijn zeker 60.000 Fortinet-klanten kwetsbaar.
De kwetsbaarheid treft verschillende versies van FortiManager en FortiManager Cloud. In de bulletin van Fortinet kan je nagaan of je op een kwetsbare versie zit en naar welke versie je kan upgraden om weer beveiligd te zijn.
Onder de mat
Fortinet leek aanvankelijk niet van plan om publiek over de kwetsbaarheid te communiceren. De kwetsbaarheid kwam via Reddit aan het licht, door een klant die zich afvroeg waarom Fortinet een update van FortiManager had uitgerold. De publieke release notes stelden dat er ‘geen opgeloste problemen gemeld zijn’. Klanten werden half oktober privé op de hoogte gebracht.
De beslissing van Fortinet om niet meteen openbaar te communiceren, stuit op kritiek, onder meer vanuit de hoek van beveiligingsexpert Kevin Beaumont. Fortinet zegt dat het de kwetsbaarheid onder de radar hield om zijn klanten te beschermen, maar volgens Beaumont wilde het bedrijf vooral zichzelf beschermen.
“Ik ben er niet van overtuigd dat Fortinet’s verhaal dat ze klanten beschermen door een kwetsbaarheid niet publiekelijk bekend te maken, klanten ook effectief beschermt. Deze kwetsbaarheid wordt al een tijdje op grote schaal misbruikt. Het beschermt niemand door niet transparant te zijn, behalve misschien zichzelf”, schrijft Beaumont in zijn blog.
Misschien wilde Fortinet niet nog eens negatief in het nieuws komen. De beveiligingsspecialist heeft er een lastig jaar op zitten, met meerdere kwetsbaarheden die klanten van het bedrijf troffen. Als kers op de taart werd Fortinet ook zelf gehackt dit jaar.