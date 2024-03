Vorige maand kwam netwerkfabrikant Fortinet met een beveiligingsupdate voor een kritieke kwetsbaarheid in FortiOS waar aanvallers actief misbruik van maken, maar vier weken later blijkt dat 150.000 apparaten nog altijd niet zijn gepatcht, waaronder ruim twaalfhonderd in Nederland. Dat meldt de Shadowserver Foundation op basis van eigen onderzoek.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. De kwetsbaarheid, aangeduid als CVE-2024-21762, maakt het mogelijk voor aanvallers om zonder authenticatie op afstand code en commando's op kwetsbare apparatuur uit te voeren. De enige vereiste is de mogelijkheid om een HTTP-request naar het apparaat te sturen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

Fortinet meldde in het beveiligingsbulletin dat er mogelijk al misbruik van de kwetsbaarheid werd gemaakt. Dat er actief misbruik van het beveiligingslek werd gemaakt werd een dag later door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bevestigd. Details over deze aanvallen zijn niet gegeven.

De Shadowserver Foundation is een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime. Regelmatig scant de organisatie naar kwetsbare systemen, waarbij de laatste scan zich richtte op Fortinet-apparaten. Dan blijkt dat 150.000 apparaten de update voor CVE-2024-21762 missen. Dat wil echter niet zeggen dat al deze apparaten direct kwetsbaar zijn voor aanvallen. Het is volgens Fortinet ook mogelijk als workaround om SSL VPN uit te schakelen. Shadowserver kijkt alleen naar versienummers en niet of deze mitigatie is doorgevoerd.