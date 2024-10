De Duitse overheid waarschuwt voor grootschalig misbruik van een kritieke kwetsbaarheid in Fortinet FortiManager en is bekend met tientallen gecompromitteerde apparaten in het land. Organisaties die gebruikmaken van Fortinet FortiManager moeten ervan uitgaan dat het apparaat is gecompromitteerd, tenzij uitgebreid onderzoek uitwijst dat dit niet het geval is, zo stelt de Shadowserver Foundation, een stichting die zich bezighoudt met de bestrijding van cybercrime.

Fortinet maakte vorige week bekend dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid (CVE-2024-47575) in het product. De update hiervoor is de afgelopen periode voor het openbaar maken van het beveiligingsbulletin aan klanten aangeboden. Volgens securitybedrijf Mandiant maken aanvallers al zeker sinds 27 juni misbruik van het lek, lang voordat een update van Fortinet beschikbaar was. FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben.

Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code of commando's op kwetsbare apparaten uitvoeren. Bij de nu waargenomen aanvallen stelen aanvallers configuratiedata van de aangevallen FortiManager. Deze data bevat configuratiegegevens van zowel via de FortiManager beheerde apparaten, alsmede de gebruikers van deze apparaten en hun gehashte wachtwoorden. De Shadowserver Foundation heeft een speciaal rapport uitgebracht waarin het meer details over de aanvallen geeft. Ook Fortinet is met meer informatie gekomen.

Het Duitse CERT-Bund meldt via X dat sinds september een groot aantal FortiManager-apparaten in Duitsland via CVE-2024-47575 is aangevallen. Daarbij zijn er aanwijzingen van vele tientallen gecompromitteerde systemen. Security.NL heeft het Nationaal Cyber Security Centrum (NCSC) naar de situatie in Nederland gevraagd.