image

Bedrijven via lek in Fortinet vpn-servers geïnfecteerd met ransomware

woensdag 7 april 2021, 15:52 door Redactie, 4 reacties

Criminelen maken misbruik van een bekende kwetsbaarheid in Fortinet vpn-servers om bedrijven met ransomware te infecteren, zo waarschuwt antivirusbedrijf Kaspersky. Het lek, CVE-2018-13379, bevindt zich in de FortiOS SSL VPN webportal. FortiOS is het besturingssysteem dat in de netwerkoplossingen van Fortinet wordt gebruikt, zoals firewalls en vpn-servers.

Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden, waaronder de "sslvpn_websession". Dit bestand bevat de inloggegevens van ingelogde vpn-gebruikers in plain text. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit.

Zodra aanvallers toegang hebben wordt vanaf de gecompromitteerde vpn-server de rest van het bedrijfsnetwerk aangevallen. Hiervoor gebruiken de aanvallers onder andere de Mimikatz-tool. Daarmee kunnen de inloggegevens worden gestolen van gebruikers die recentelijk op het gecompromitteerde systeem hebben ingelogd. Kaspersky ontdekte een aanval waarbij aanvallers op deze manier de inloggegevens van het domeinbeheerdersaccount in handen kregen.

Via dit account werden de overige systemen in het netwerk besmet en konden de aanvallers de Cring-ransomware uitrollen. Onlangs waarschuwde ook de FBI voor misbruik van het betreffende beveiligingslek in FortiOS, alsmede twee andere kwetsbaarheden. Organisaties worden dan ook opgeroepen om hun systemen te updaten.

Image

Reacties (4)
07-04-2021, 17:49 door Briolet
Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit.
Sommige mensen hebben zo'n vertrouwen in de veiligheid van een VPN verbinding, dat ze denken dat updates niet nodig zijn. Blijkbaar al bijna twee jaar lang.
07-04-2021, 23:20 door walmare - Bijgewerkt: 07-04-2021, 23:20
Ja hoor Kaspersky als spyware en dankzij een windows steppingstone server konden ze met powershell zonder 2FA overal bij.
Mensen zet nu 2FA aan en segmenteer!
Hoe is het mogelijk dat je kan ontsnappen uit de document root directory van de Fortigate webapplicatie. Met SELinux zou zo iets onmogelijk zijn. Diverse configuratie fouten in dit voorbeeld. Tegen zoveel domheid helpt geen gepatcht windowssysteem.
08-04-2021, 08:04 door Bitje-scheef
Door walmare: Ja hoor Kaspersky als spyware en dankzij een windows steppingstone server konden ze met powershell zonder 2FA overal bij.
Mensen zet nu 2FA aan en segmenteer!
Hoe is het mogelijk dat je kan ontsnappen uit de document root directory van de Fortigate webapplicatie. Met SELinux zou zo iets onmogelijk zijn. Diverse configuratie fouten in dit voorbeeld. Tegen zoveel domheid helpt geen gepatcht windowssysteem.

Ook Linux is niet helemaal dicht. Zeker niet als je programma's gaat combineren. De meeste gaten zitten in de combinaties.
08-04-2021, 10:28 door walmare
Door Bitje-scheef:
Door walmare: Ja hoor Kaspersky als spyware en dankzij een windows steppingstone server konden ze met powershell zonder 2FA overal bij.
Mensen zet nu 2FA aan en segmenteer!
Hoe is het mogelijk dat je kan ontsnappen uit de document root directory van de Fortigate webapplicatie. Met FortiOS zou zo iets onmogelijk zijn. Diverse configuratie fouten in dit voorbeeld. Tegen zoveel domheid helpt geen gepatcht windowssysteem.

Ook Linux is niet helemaal dicht. Zeker niet als je programma's gaat combineren. De meeste gaten zitten in de combinaties.
Dat zeg ik ook helemaal niet. Ook Linux moet regelmatig gepatcht worden. Ik zeg alleen dat met SELinux die websession download dmv path traversal onmogelijk is. Verder denk ik dat FortiOS een LInux kernel heeft en dat SELinux dan niet aan staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.