Recent is door een beveiligingsonderzoeker een lijst ontdekt van kwetsbare FortiGate SSL VPN oplossingen. Deze lijst zou worden gebruikt door hackers om toegang te krijgen tot netwerken van bedrijven. Het gaat hierbij om een oudere kwetsbaarheid, waar al diverse keren voor is gewaarschuwd en die meerdere keren onder de aandacht is gebracht.
We zien echter dat deze kwetsbaarheid nog steeds actief door kwaadwillenden wordt gebruikt. Bovendien is er recent een lijst online gepubliceerd met bedrijven die mogelijk de dupe zijn geworden, waardoor deze dreiging weer urgent wordt. Deze lijst is inmiddels in bezit van Tesorion en deze bedrijven zijn door ons actief geïnformeerd.
Introductie
Op 24 mei 2019 heeft Fortinet een software patch beschikbaar gesteld die een software kwetsbaarheid dicht in haar SSL VPN oplossing. Via deze kwetsbaarheid is het mogelijk om de logingegevens van actieve gebruikers te downloaden. Via een software kwetsbaarheid in de FortiGate SSL VPN oplossing is het mogelijk om de logingegevens van actieve gebruikers te downloaden van het apparaat. Deze informatie kan vervolgens worden gebruikt om in te loggen op de oplossing (en zo toegang te krijgen tot het bedrijfsnetwerk), of worden gebruikt om toegang te krijgen tot andere informatiesystemen.
Detailinfo kwetsbaarheid
De software kwetsbaarheid is geregistreerd onder CVE-2018-13379. De volgende softwareversies zijn kwetsbaar wanneer de SSL VPN functionaliteit is ingeschakeld:
- FortiOS 5.4 – 5.4.6 to 5.4.12
- FortiOS 5.6 – 5.6.3 to 5.6.7
- FortiOS 6.0 – 6.0.0 to 6.0.4
Via de kwetsbaarheid kunnen de logingegevens van actieve gebruikers worden gedownload. Het gaat hier om de volgende gegevens:
- Gebruikersnaam
- Wachtwoord
- Publiek IP-adres van de gebruiker
Het volledige advies van Fortinet kan hier worden gevonden: https://www.fortiguard.com/psirt/FG-IR-18-384
Mogelijk risico
Met behulp van de informatie die kan worden verkregen via de kwetsbaarheid, kan de aanvaller inloggen op de SSL VPN oplossing. Hiermee krijgt de aanvaller toegang tot het bedrijfsnetwerk. Aanvullend is het mogelijk dat logingegevens toegang bieden tot andere informatiesystemen, zoals e-mail.
T-CERT heeft incidenten waargenomen, waarbij de aanvaller via deze kwetsbaarheid toegang kreeg tot de omgeving, waarna bijvoorbeeld ransomware werd geïnstalleerd.
Wat kan je doen om mogelijke schade te voorkomen of te beperken?
Zorg dat je de software van je FortiGate ten minste update naar de volgende versies:
- FortiOS 5.4.13
- FortiOS 5.6.8
- FortiOS 6.0.5
- FortiOS 6.2.0
Voer aanvullend de volgende acties uit:
- Reset de wachtwoorden van gebruikers van de SSL VPN oplossing
- Schakel multi-factor authenticatie in voor de SSL VPN oplossing
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
Gezien de eenvoud en leeftijd van de kwetsbaarheid, is het zeer aannemelijk dat kwaadwillenden reeds toegang hebben (gehad) tot je bedrijfsnetwerk. T-CERT adviseert daarom om logbestanden van de Fortigate en aanvullende systemen veilig te stellen en te analyseren op kwaadaardige activiteiten. Indien gewenst, kan T-CERT je hierin ondersteunen.