Het Nationaal Cyber Security Centrum (NCSC) heeft meerdere organisaties ingelicht dat wachtwoorden van hun firewalls of vpn-gebruikers op internet zijn gelekt. Afgelopen woensdag werd bekend dat criminelen de inloggegevens van zo'n 74.000 Fortinet-firewalls en vpn-gateways in handen hebben. De lijst met inloggegevens wordt op internet aangeboden.

"We hebben inmiddels meerdere organisaties geïnformeerd over aangetroffen inloggegevens. Omdat de volledige omvang van de campagne nog niet duidelijk is, is het mogelijk dat nog niet alle getroffen organisaties zijn bereikt. Controleer daarom actief of jouw organisatie voorkomt in de bekende datasets", zo laat het NCSC weten. De overheidsinstantie wijst organisaties door naar de website van cybersecuritybedrijf Hudson Rock dat een overzicht van gecompromitteerde organisaties heeft.

Het NCSC roept organisaties op om verschillende maatregelen te nemen. "Per organisatie is niet vastgesteld welke vervolgactiviteiten na de eerste toegang hebben plaatsgevonden. Daardoor kunnen we niet aangeven of en in welke mate jouw organisatie is geraakt. Voer daarom een eigen risico- en impactanalyse uit en controleer in ieder geval onderstaande punten." Daarbij worden zaken genoemd als het controleren van logs en het checken op de aanwezigheid van verdachte accounts.

Eerder kregen Fortinet-klanten van het Australische Cyber Security Centre (ACSC) het advies om alle admin- en vpn-wachtwoorden te wijzigen. Iets dat ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security aanraadt. Het Britse National Cyber Security Centre (NCSC) adviseert zelfs het uitvoeren van een fabrieksreset van het Fortinet-apparaat, omdat het aanpassen van alleen inloggegevens mogelijk niet genoeg is om een aanvaller van het systeem te verwijderen.