Hackers maken actief misbruik van FortiOS kwetsbaarheden

Fortinet

De FBI en CISA hebben gezamenlijk een cybersecurity-advies vrijgegeven waarin ze waarschuwen dat hackgroepen actief misbruik maken van kwetsbaarheden in FortiOS. Hoewel ze geen specifieke namen noemen, laten de partijen in hun advies weten dat de groepen waarschijnlijk worden gesponsord door buitenlandse overheden.

Naar verluidt scannen de groepen apparaten op de poorten 4443, 8443 en 10443 voor drie kwetsbaarheden:

  • CVE-2018-13379: een kwetsbaarheid die een ongeautoriseerde aanvaller toestemming geeft om bestanden te downloaden via SSl VPN
  • CVE-2020-12812: een andere authenticatie kwetsbaarheid in SSL VPN in FortiOS
  • CVE-2019-5591: een standaard configuratie kwetsbaarheid die het mogelijk maakt voor een aanvaller om gevoelige informatie te onderscheppen door de LDAP-server na te bootsen

“Waarschijnlijk scannen de aanvallers naar deze kwetsbaarheden om toegang te krijgen tot netwerken van overheden, commerciële bedrijven en technologische diensten”, luidt het advies.

Als reactie op het advies van de FBI en CISA liet Fortinet via een blog weten dat ‘geen bedrijf blij is met kwetsbaarheden’. Dat geldt des te meer voor een bedrijf als Fortinet, dat opereert in de beveiligingsindustrie. “Maar we streven er constant naar om onze processen te verbeteren, waaronder het actief testen van onze code en het oplossen van fouten die zowel intern als extern zijn ontdekt. Zo willen we een meer robuuste oplossing bieden voor onze klanten.”

Hoe bescherm je jezelf?

De FBI en CISA raden gebruikers van FortiOS aan om zo snel mogelijk de patches te installeren voor de drie kwetsbaarheden. Daarnaast raden ze aan dat bedrijven praktische maatregelen nemen, zoals het regelmatig maken van een back-up, een herstelplan op te stellen, waar mogelijk multifactor authenticatie te gebruiken en ongebruikte RDP-poorten uit te schakelen. 

Dirk Schrader, vice president van beveiligingsonderzoek bij New Net Technologies legt uit dat het misbruiken van kwetsbaarheden in belangrijke infrastructuur apparaten zoals firewall een kritiek pad is voor aanvallers is. Het stelt ze in staat om een vaste positie in het netwerk te krijgen. “Het is een prioriteit voor beveiligingsteams in elke organisatie om deze apparaten te monitoren, ze te patchen en alle veranderingen in de configuratie te controleren”, concludeert Schrader.

Update: Fortinet reageert op het nieuws met volgend statement:

“De veiligheid van onze klanten is onze eerste prioriteit. CVE-2018-13379 is bijvoorbeeld een oude kwetsbaarheid die in mei 2019 werd opgelost. Fortinet heeft onmiddellijk een PSIRT-advies uitgebracht en in augustus 2019 en juli 2020 rechtstreeks en meermaals met klanten en via bedrijfsblogberichten gecommuniceerd met de dringende aanbeveling om een upgrade uit te voeren. Na de oplossing hebben we tot eind 2020 consequent met klanten gecommuniceerd. CVE-2019-5591 werd in juli 2019 opgelost en CVE-2020-12812 werd in juli 2020 opgelost. Mochten klanten dit nog niet hebben gedaan, dan dringen we er bij hen op aan om de upgrade en mitigaties onmiddellijk te implementeren. Ga voor meer informatie naar onze blog en raadpleeg meteen de advisory van mei 2019.”

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home