Organisaties moeten vandaag nog hun ongebruikte, uitgeschakelde accounts verwijderen. Helemaal als het om admin-accounts gaat, zo waarschuwt de FBI. Aanleiding zijn aanvallen door meerdere statelijke actoren die misbruik maken van kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966). FortiOS is het besturingssysteem dat op firewalls van Fortinet draait.

Via de kwetsbaarheid kregen de aanvallers controle over de firewall van een organisatie in de luchtvaartsector. Vervolgens werd een eerder uitgeschakeld account van een contractor door de aanvallers gebruikt. Volgens de FBI is het een standaard werkwijze voor de aanvallers om gebruik te maken van uitgeschakelde admin-accounts, alsmede het verwijderen van logbestanden van belangrijke servers, om zo onderzoek naar de aanval en verder misbruik te bemoeilijken.

De FBI roept organisaties op om de twee kwetsbaarheden in kwestie te patchen mocht dat nog niet zijn gedaan en te monitoren op het ongeautoriseerde gebruik van remote access software zoals ConnectWise ScreenConnect, dat de aanvallers gebruiken om verbinding met systemen mee te maken. Verder wordt aangeraden onnodige, uitgeschakelde accounts te verwijderen. "Zorg voor beleid en procedures voor het snel verwijderen van onnodige (uitgeschakelde) accounts en groepen die niet langer binnen de onderneming nodig zijn."