Kritiek lek in Fortinet FortiNAC week na uitkomen van update actief misbruikt

[Captain Kirk]

Een kritieke kwetsbaarheid in Fortinet FortiNAC wordt nog geen week na het verschijnen van de beveiligingsupdate actief misbruikt voor het aanvallen van organisaties, zo waarschuwen securitybedrijven. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen.

Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Op 16 februari kwam Fortinet met een patch voor het product.

Een kritiek lek in de FortiNAC-webserver, aangeduid als CVE-2022-39952, maakt het voor een ongeauthenticeerde aanvaller mogelijk om naar het systeem te schrijven en willekeurige code als root uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Twee dagen geleden verscheen er proof-of-concept exploitcode voor de kwetsbaarheid.

Securitybedrijven GreyNoise en Dark Sky liet gisterenavond weten dat er inmiddels actief misbruik van het lek wordt gemaakt. Ook de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, meldt dat het aanvallen heeft waargenomen. Bij de aanvallen wordt een reverse shell geïnstalleerd waarmee aanvallers toegang tot de apparaten krijgen en zo verdere aanvallen tegen het achterliggende netwerk kunnen uitvoeren.

 

bron: https://www.security.nl

25 februari 2023 aangepast door Captain Kirk