Een beveiligingslek in FortiOS SSL VPN’s zou actief worden misbruikt om overheidsinstellingen aan te vallen. Fortinet spreekt over ‘zeer geavanceerde’ daders.
In december stuurde Fortinet een waarschuwing uit over een kwetsbaarheid in FortiOS SSL-VPN. CVE-2022-42475 kreeg toen een ernstscore van 9,8 op tien, wat betekent dat het om een zeer acute dreiging ging. De waarschuwing was niet onterecht, want Fortinet meldt nu dat de kwetsbaarheid aanleiding heeft gegeven tot aanvallen op overheidsinstanties.
Fortinet beweert dat enkel zeer vernuftige daders achter de aanvallen kunnen zitten. Gezien de complexiteit van de exploit, dienen de aanvallers een zeer goede kennis van het FortiOS-ecosysteem en ondersteunende hardware van de beveiligingsleverancier te hebben.
De aanvallers ontwikkelden een op Linux gebaseerde malware dat bovenop de FortiOS-software kan draaien. Om onder de radar te blijven, schakelt het bestand de logging events uit en nestelt het zich in de Fortinet IPS-engine. Er zijn wel bepaalde indicatoren die je kunnen verwittigen dat er aanvallers in je netwerk zitten. Die beschrijft Fortinet uitvoerig in deze blog.
Boter op het hoofd
Sinds eind november is een patch beschikbaar voor FortiOS SSL VPN. De beveiligingsleverancier verzoekt klanten om die patch zo snel mogelijk door te voeren. Toch heeft, volgens ArsTechnica, Fortinet mee boter op het hoofd.
Het bedrijf zou te lang hebben gewacht om de ernst van de kwetsbaarheid te benadrukken. Veel bedrijven hebben nu eenmaal nog niet de gewoonte ontwikkeld om patches door te voeren van zodra ze beschikbaar zijn. Als Fortinet onmiddellijk na het uitrollen van de patch had gewaarschuwd dat het om een zeer ernstige dreiging ging, zouden organisaties minder lang gewacht hebben, klinkt het.
Nu hebben de aanvallers tijd gekregen om de kwetsbaarheid uit te buiten. Het toont wederom aan dat het uitstellen van updates risico’s inhoudt. Als er één goed voornemen is om in 2023 vol te houden, dan is het om van patchen een prioriteit te maken.
lees ook