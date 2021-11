De Amerikaanse, Australische en Britse overheid hebben een waarschuwing afgegeven voor een groep aanvallers die door de Iraanse overheid zou worden gesponsord en misbruik maakt van bekende kwetsbaarheden in Microsoft Exchange en Fortinet FortiOS. Ook Microsoft is met een overzicht gekomen van verschillende groepen aanvallers die vanuit Iran zouden opereren.

De groep aanvallers waarvoor de FBI, Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) waarschuwen maakt sinds maart van dit jaar misbruik van bekende beveiligingslekken in Fortinet FortiOS. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812 waardoor een aanvaller toegang tot Fortinet vpn-servers kan krijgen. De APT-groep wist via de beveiligingslekken onder andere het netwerk van een Amerikaans kinderziekenhuis te compromitteren, aldus de waarschuwing.

Sinds oktober van dit jaar maken de aanvallers ook gebruik van van de ProxyShell-kwetsbaarheden in Microsoft Exchange. ProxyShell is een naam voor drie kwetsbaarheden die wanneer gecombineerd het voor ongeauthenticeerde aanvallers mogelijk maken om kwetsbare Exchange-servers op afstand over te nemen. Zodra de APT-groep toegang tot de Exchange-server heeft gekregen worden verdere aanvallen uitgevoerd om organisaties met ransomware te infecteren.

Organisaties worden opgeroepen om beveiligingsupdates zo snel mogelijk te installeren wanneer die beschikbaar komen. Voor sommige van de aangevallen kwetsbaarheden zijn patches al geruime tijd beschikbaar. Daarnaast moeten de kwetsbaarheden aangeduid als CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591 meteen worden gepatcht.