Organisaties moeten vandaag nog hun ongebruikte, uitgeschakelde accounts verwijderen. Helemaal als het om admin-accounts gaat, zo waarschuwt de FBI. Aanleiding zijn aanvallen door meerdere statelijke actoren die misbruik maken van kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966). FortiOS is het besturingssysteem dat op firewalls van Fortinet draait.
Via de kwetsbaarheid kregen de aanvallers controle over de firewall van een organisatie in de luchtvaartsector. Vervolgens werd een eerder uitgeschakeld account van een contractor door de aanvallers gebruikt. Volgens de FBI is het een standaard werkwijze voor de aanvallers om gebruik te maken van uitgeschakelde admin-accounts, alsmede het verwijderen van logbestanden van belangrijke servers, om zo onderzoek naar de aanval en verder misbruik te bemoeilijken.
De FBI roept organisaties op om de twee kwetsbaarheden in kwestie te patchen mocht dat nog niet zijn gedaan en te monitoren op het ongeautoriseerde gebruik van remote access software zoals ConnectWise ScreenConnect, dat de aanvallers gebruiken om verbinding met systemen mee te maken. Verder wordt aangeraden onnodige, uitgeschakelde accounts te verwijderen. "Zorg voor beleid en procedures voor het snel verwijderen van onnodige (uitgeschakelde) accounts en groepen die niet langer binnen de onderneming nodig zijn."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.