Hackers maken actief misbruik van een eerder ontdekte kwetsbaarheid in Fortinet-firewalls om ransomware-aanvallen uit te voeren. Een patch is beschikbaar.
Cybercriminelen onder de noemer Mora_001misbruiken een eerder ontdekte bug in Fortinet-firewalls in een ransomware-campagne. Het gaat om een lek waarvoor Fortinet in eerder al waarschuwde. Concreet richten de aanvallers zich op CVE-2024-55591 en CVE-2025-24472. Daarmee kunnen ze authenticatie omzeilen en uiteindelijk hun eigen malware injecteren. Die krijgt de naam SuperBlack mee.

Hoe lang de aanvallen al gaande zijn, is niet helemaal duidelijk. Aanvankelijk liet Fortinet weten dat de ontdekte bugs nog niet misbruikt werden, maar nu blijkt dat criminelen begin dit jaar misschien toch al aanvallen konden opzetten via de zero-days. Op dit moment is het misbruik echter heel duidelijk.
Patch beschikbaar
Patches zijn beschikbaar, maar naar traditie nog onvoldoende geïmplementeerd. Mora_001 maakt van die laksheid gebruik om bedrijven te infecteren met ransomware en hen dan uit te persen voor losgeld.
Het misbruik werd ontdekt door beveiligingsonderzoekers van Forescout. Die stelden vast dat de aanvallen een vast stramien volgen, wat aangeeft dat ze worden uitgevoerd door één entiteit.
Hoe dan ook is de oplossing dezelfde als altijd: installeer de patches voor de gekende en gedeelde kwetsbaarheden meteen. Wie wacht, mag SuperBlack op zijn systeem verwachten.