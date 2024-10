Fortinet heeft meer informatie gegeven over de aanvallen waar FortiManager-servers al maanden het doelwit van zijn, waaronder ip-adressen die de aanvallers gebruiken. Aanvallers maken al zeker sinds juni misbruik van een kritieke kwetsbaarheid in FortiManager, aangeduid als CVE-2024-47575. Op het moment dat de aanvallen plaatsvonden was er geen update voor de kwetsbaarheid beschikbaar. De Shadowserver Foundation, een organisatie die zich bezighoudt met de bestrijding van cybercrime, stelde onlangs dat alle organisaties met een FortiManager-server ervan moeten uitgaan dat het systeem is gecompromitteerd, tenzij uitgebreid onderzoek uitwijst dat dit niet het geval is.

FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben, omdat zo ook andere apparaten zijn aan te vallen die vaak een belangrijke rol in het netwerk spelen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code of commando's op kwetsbare apparaten uitvoeren. Bij de nu waargenomen aanvallen stelen aanvallers configuratiedata van de aangevallen FortiManager-server. Deze data bevat configuratiegegevens van zowel via de FortiManager beheerde apparaten, alsmede de gebruikers van deze apparaten en hun gehashte wachtwoorden.

De afgelopen dagen heeft Fortinet meer informatie aan het beveiligingsbulletin over CVE-2024-47575 toegevoegd. Het gaat onder andere om Indicators of Compromise (IoCs), waarmee organisaties kunnen kijken of hun FortiManager-servers gecompromitteerd zijn. De nieuwste IoCs bestaan onder andere uit verschillende ip-adressen die de aanvallers gebruiken of hebben gebruikt. Updates voor de kwetsbaarheid zijn al voor het uitkomen van het beveiligingsbulletin onder klanten beschikbaar gemaakt. Organisaties worden opgeroepen de update te installeren mocht dat nog niet zijn gedaan. De Duitse overheid liet laatst weten dat het bekend is met tientallen gecompromitteerde FortiManager-servers in het land. Ook de Britse overheid meldde aanvallen.