Nog altijd worden organisaties gecompromitteerd door middel van oude kwetsbaarheden in Fortinet FortiOS, zo waarschuwt de FBI. De Amerikaanse opsporingsdienst meldt dat er deze maand een succesvol aanval op een Amerikaanse stad heeft plaatsgevonden waarbij de aanvallers via een kwetsbare Fortigate-appliance toegang tot de webserver van de stad kregen.
Bij de waargenomen aanvallen maken de aanvallers gebruik van bekende beveiligingslekken in FortiOS, zoals CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591, waarvoor al geruime tijd beveiligingsupdates beschikbaar zijn. In het geval van een succesvolle aanval worden nieuwe gebruikersaccounts aangemaakt op de domain controllers, servers, werkstations en active directories. Deze accounts hebben onder andere de naam "elie" en "WADGUtilityAccount".
Verder maken de aanvallers gebruik van tools zoals WinRAR, FileZilla en BitLocker om data te comprimeren, versleutelen en vervolgens via FTP terug te sturen naar een server. Hierbij gaat het FTP-verkeer over poort 443. Ook maken de aanvallers allerlei taken aan. Om de aanvallen te voorkomen adviseert de FBI onder andere om de drie eerder genoemde kwetsbaarheden meteen te patchen (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.