Fortinet rapporteert een ernstige kwetsbaarheid in zijn FortiGate-firewalls. Een patch is beschikbaar, maar dat kan voor vele bedrijven al te laat zijn.
Beveiligingsleverancier Fortinet heeft een bulletin gedeeld met informatie over kwetsbaarheden in FortiOS en FortiProxy, de software die draait op de FortiGate-firewalls van het bedrijf. Deze worden op dit moment actief onder vuur genomen door aanvallers. De kwetsbaarheid staat aanvallers toe de authenticatie te omzeilen en zich vanop afstand superadmin-privileges toe te kennen om zo vrij rond te kunnen wandelen in het bedrijfsnetwerk.
lees ook
Strijden met gelijke wapens: hoe AI kan helpen bij het uitwerken van een efficiëntere SecOps-strategie?
Fortinet waarschuwt dat de kwetsbaarheid op dit moment actief wordt uitgebuit en verzoekt klanten zo snel mogelijk een update uit te voeren. Dat advies wordt herhaald door het Amerikaanse cybersecurityagentschap CISA. Met een CVSS-score van 9.6 op een schaal van tien krijgt de kwetsbaarheid het label ‘kritiek’.
In het bulletin somt Fortinet de aangetaste versies van FortiOS en FortiProxy op. FortiOS 7.0 tot 7.0.16 zijn aangetast en dienen bijgewerkt te worden naar versie 7.0.17 of nieuwer. Voor FortiProxy zijn versies 7.0 tot 7.0.19 en 7.2 tot 7.2.12 kwetsbaar. Ook hier is upgraden naar een veilige versie de boodschap om de poorten van FortiGate toe te houden.
Pleister op de wonde
De patch komt deze keer misschien wel te laat. Beveiligingsfirma Arctic Wolf merkte in december een piek in ‘verdachte activiteiten’ rond de FortiGate-firewalls. Op dat moment was de kwetsbaarheid nog een zero-day die niet op de radar van Fortinet stond. Hoeveel bedrijven in die periode zouden kunnen getroffen zijn, is onbekend. Verder onderzoek is nodig om de impact van de kwetsbaarheid te kunnen inschatten, besluit Arctic Wolf zijn voorgaande analyse.
Naast het installeren van de firmware-updates worden FortiGate-gebruikers aangespoord om in de logs te zoeken naar sporen van misbruik en de managementinterfaces op de publieke internetverbinding te blokkeren. Arctic Wolf Labs benadrukt dat dergelijke interfaces alleen toegankelijk zouden mogen zijn voor interne gebruikers. Misconfiguraties die externe toegang toestaan, vergroten het aanvalsoppervlak en het risico op misbruik aanzienlijk.
lees ook
Hackers slopen FortiGate-firewalls: Fortinet waarschuwt voor ‘actief misbruik’
Zoals elke beveiligingsspecialist krijgt Fortinet regelmatig zelf eens te maken met kwetsbaarheden. Het toont vooral dat niet één tool volledige bescherming kan bieden, zeker een firewall niet. Wie geen extra verdedigingsmiddelen heeft, is een vogel voor de kat eens aanvallers voorbij de firewall zijn geraakt.