Grootschalig misbruik Fortinet-lek na online verschijnen van exploitcode

[Captain Kirk]

Verschillende securitybedrijven melden dat aanvallers op grote schaal misbruik proberen te maken van een kritieke kwetsbaarheid in de FortiGate firewalls, FortiProxy webproxies en FortiSwitch Manager van fabrikant Fortinet. Via het beveiligingslek in FortiOS, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Via de kwetsbaarheid kan een aanvaller deze apparaten compromitteren, wat grote gevolgen voor organisaties kan hebben. Begin oktober bracht Fortinet een beveiligingsupdate uit voor het probleem. Inmiddels is er een proof-of-concept exploit online verschenen. Na het verschijnen hiervan melden verschillende securitybedrijven dat er een toename is van aanvalspogingen tegen Fortinet-apparaten.

Bij de aanvallen wordt geprobeerd om de SSH-key van de beheerder aan te passen. Een aanvaller kan zo vervolgens op het systeem als beheerder inloggen. Eerder gaf Fortinet al het advies aan klanten om te controleren of hun netwerkapparaten niet al zijn gecompromitteerd. Naast het installeren van de patch stelt Fortinet dat het uitschakelen van de HTTP/HTTPS admin-interface als workaround kan worden toegepast. Inmiddels is het Nederlandse DIVD begonnen om naar kwetsbare apparaten op internet te zoeken en de verantwoordelijke organisaties te waarschuwen.

 

bron: https://www.security.nl