Fortinet waarschuwt voor misbruik van vijf jaar oud VPN-lek in FortiOS

[Captain Kirk]

Aanvallers maken actief misbruik van een vijf jaar oude kwetsbaarheid in het SSL VPN-onderdeel van FortiOS, zo waarschuwt Fortinet. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en VPN-systemen. Via het beveiligingslek (CVE--2020-12812) kan een aanvaller de ingeschakelde tweefactorauthenticatie (2FA) voor een VPN-account omzeilen.

Het probleem doet zich voor wanneer 2FA staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de 2FA omzeilen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Fortinet kwam op 13 juli 2020 met een beveiligingsbulletin voor de kwetsbaarheid en maakte het bestaan van beveiligingsupdates bekend. In 2021 waarschuwden de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) voor misbruik van het beveiligingslek, ook al waren patches al meer dan een jaar beschikbaar.

Een aantal dagen geleden meldde Fortinet dat aanvallers de kwetsbaarheid nog altijd bij aanvallen inzetten. Het gaat daarbij om configuraties die gebruikmaken van LDAP. Details over de aanvallen zelf, zoals getroffen organisaties en de aard van de aanvallen, geeft Fortinet niet. Wel beschrijft het securitybedrijf in welke gevallen de aanvallen mogelijk zijn en benoemt daarbij ook dat een beveiligingsupdate al meer dan vijf jaar beschikbaar is.

 

 

bron: https://www.security.nl