Een kritieke kwetsbaarheid waardoor vpn-servers van Fortinet op afstand zijn over te nemen is mogelijk al misbruikt, zo heeft het bedrijf laten weten. Fortinet is inmiddels met updates gekomen om het beveiligingslek (CVE-2023-27997) te verhelpen. Daarnaast heeft de netwerkbeveiliger meer informatie over de manier waarop een spionagegroep via Fortinet-apparatuur toegang tot vitale organisaties wist te krijgen. Daarbij werd echter een andere kwetsbaarheid gebruikt.
Vorige week kwam Fortinet met updates voor CVE-2023-27997. Details waren echter niet bekend. Die zijn gisteren bekendgemaakt. Het gaat om een heap-based buffer overflow in FortiOS en FortiProxy SSL-VPN. Door het versturen van speciaal geprepareerde requests kan een aanvaller willekeurige code en commando's op de apparatuur uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Volgens Fortinet is het beveiligingslek mogelijk in een "beperkt aantal gevallen" misbruikt en wordt de situatie samen met de betreffende klanten gemonitord.
Onlangs waarschuwden Microsoft en de Amerikaanse overheid dat vitale Amerikaanse infrastructuur het doelwit was geworden van een uit China opererende spionagegroep. Die wist organisaties op onbekende wijze via Fortinet FortiGuard-apparaten te compromitteren om vervolgens informatie te stelen. Microsoft liet weten dat het nog aan het onderzoeken was hoe de aanvallers toegang tot de FortiGuard-apparaten hadden gekregen.
Fortinet stelt in een analyse dat de aanvallers binnen wisten te komen via CVE-2022-40684, een kwetsbaarheid waarvoor op 10 oktober vorig jaar beveiligingsupdates verschenen. De impactscore van het beveiligingslek is beoordeeld met een 9.6. Voor zover bekend heeft de spionagegroep, die door Microsoft Volt Typhoon wordt genoemd, geen misbruik gemaakt van CVE-2023-27997. Wel verwacht Fortinet dat aanvallers misbruik van dit lek zullen gaan maken en roept organisaties op tot het voeren van een "agressieve patchcampagne" om het probleem op hun apparaten te verhelpen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.