image

Fortinet waarschuwt voor door MIVD gevonden malware: installeer updates

donderdag 8 februari 2024, 16:33 door Redactie, 12 reacties

Fortinet heeft klanten gewaarschuwd voor de malware die vorig jaar door de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op FortiGate-apparaten van Defensie werd aangetroffen. Daarbij stelt het bedrijf dat het belangrijk is dat organisaties hun FortiGate-apparatuur tijdig patchen, aangezien aanvallers nog altijd misbruik maken van bekende kwetsbaarheden waarvoor updates beschikbaar zijn.

De FortiGate-apparaten van Defensie werden via een beveiligingslek aangeduid als CVE-2022-42475 gecompromitteerd. Het gaat om een kritieke kwetsbaarheid in FortiOS SSL-VPN waarvoor Fortinet op 12 december 2022 waarschuwde. Het beveiligingslek werd als zeroday bij aanvallen ingezet, wat inhoudt dat erop het moment van de eerste aanvallen geen update voor beschikbaar was. Inmiddels zijn er wel patches voorhanden, maar zijn er nog altijd organisaties die niet zijn geüpdatet.

Naast CVE-2022-42475 gaat het ook om een kwetsbaarheid aangeduid als CVE-2023-27997 waar aanvallers misbruik van maken. "De beste verdediging tegen N-Day kwetsbaarheden is het volgen van goede cyberhygiëne, waaronder tijdig patchen", aldus Fortinet. Volgens het bedrijf zijn de genoemde kwetsbaarheden niet eenvoudig te misbruiken. "De complexiteit van de exploit suggereert een geavanceerde aanvaller, en het feit dat de aanvallen gericht zijn tegen overheden of strategische doelen zoals vitale infrastructuur, productie en serviceproviders in overheidsgerelateerde industrieën, suggereert statelijke mogelijkheden."

Daarbij legt Fortinet ook uit hoe de MIVD met de naam 'Coathanger' voor de FortiGate-malware kwam. Dat is gebaseerd op een string in de malware, 'She took his coat and hung it up', afkomstig uit een boek van Roald Dahl. Daarbij herhaalt Fortinet dat de aanvallen van bekende kwetsbaarheden misbruik maken en het belangrijk is dat organisaties over een robuust patchmanagementprogramma beschikken.

Reacties (12)
08-02-2024, 16:36 door Anoniem
Terecht, echter ook: al geinfecteerd lost deze patch het probleem niet op. Een van de beste manieren om er achter te komen of je fartigate devices infected zijn is per netflow analyse.
08-02-2024, 16:42 door Anoniem
Als er geen patch voorhanden is moet je mitigeren en dat was in dit geval de SSL-VPN uitzetten.
Wie doet eigenlijk patchmanagement voor defensie?
08-02-2024, 17:24 door Anoniem
Helaas de sporen zoals aangegeven in het rapport van de MIVD al bij meerdere klanten teruggevonden. En dit waren geen overheidsgerelateerde of anderzijds 'high-targets'. Jammer dat het zonder volledige format vrijwel niet weg te krijgen is. Had gehoopt dat Fortinet hier toch iets zinnigers over kon zeggen.
08-02-2024, 19:03 door Anoniem
Door Anoniem: Als er geen patch voorhanden is moet je mitigeren en dat was in dit geval de SSL-VPN uitzetten.
Wie doet eigenlijk patchmanagement voor defensie?

De baas van de MIVD vertrekt. Wel toevallig allemaal.
https://www.telegraaf.nl/nieuws/252172524/mivd-baas-vertrekt-met-een-klapper-betere-inzichten-rond-rusland
08-02-2024, 21:02 door Anoniem
Door Anoniem:
Door Anoniem: Als er geen patch voorhanden is moet je mitigeren en dat was in dit geval de SSL-VPN uitzetten.
Wie doet eigenlijk patchmanagement voor defensie?

De baas van de MIVD vertrekt. Wel toevallig allemaal.
https://www.telegraaf.nl/nieuws/252172524/mivd-baas-vertrekt-met-een-klapper-betere-inzichten-rond-rusland

Was in december al aangekondigd maar het rommelt. Zalushny weg in Oekraine, opschaling beveiliging ambassade Israel in Den Haag, interview Tucker-Poetin.

Heb je de link naar het boek van Dahl gelezen? Dat is ook een leuke.
09-02-2024, 00:48 door Anoniem
Door Anoniem: Helaas de sporen zoals aangegeven in het rapport van de MIVD al bij meerdere klanten teruggevonden. En dit waren geen overheidsgerelateerde of anderzijds 'high-targets'. Jammer dat het zonder volledige format vrijwel niet weg te krijgen is. Had gehoopt dat Fortinet hier toch iets zinnigers over kon zeggen.
een patch die al sinds 2022/jan-23 beschikbaar is ..
als je deze zero-day na een jaar nog niet geinstalleerd heb dan heb je aardig liggen slapen
09-02-2024, 08:33 door Anoniem
Pinewood Security Bulletin – Unknown vulnerability in all FortiGate devices, immediate update required

https://www.pinewood.nl/category/security-bulletin/
09-02-2024, 09:34 door Anoniem
Roald Dahl is toch een engelsman?
Hoe kunnen het dan de chinezen zijn? Tis gewoon GCHQ..
09-02-2024, 10:25 door Anoniem
Door Anoniem: Terecht, echter ook: al geinfecteerd lost deze patch het probleem niet op. Een van de beste manieren om er achter te komen of je fartigate devices infected zijn is per netflow analyse.
Analyse ? Ik heb maar 1 analyse. Eruit gooien die meuk.
09-02-2024, 10:41 door Anoniem
Door Anoniem:
Door Anoniem: Terecht, echter ook: al geinfecteerd lost deze patch het probleem niet op. Een van de beste manieren om er achter te komen of je fartigate devices infected zijn is per netflow analyse.
Analyse ? Ik heb maar 1 analyse. Eruit gooien die meuk.

Ja en dan voor Cisco gaan zeker, dan weet je zeker dat je gegevens bij de Amerikaanse overheid liggen.
Er is geen merk wat niet vatbaar is voor dit soort dingen.
Als je veilig wil zijn moet je niet aan het internet gaan hangen met je omgeving
09-02-2024, 11:23 door Anoniem
Door Anoniem:
Door Anoniem: Terecht, echter ook: al geinfecteerd lost deze patch het probleem niet op. Een van de beste manieren om er achter te komen of je fartigate devices infected zijn is per netflow analyse.
Analyse ? Ik heb maar 1 analyse. Eruit gooien die meuk.
Hebben wij gedaan. Vroeger gebruikten we trouwens een open source SSL-VPN op basis van java. Weet de naam niet meer. Zal wel niet meer bestaan. Nu doen we X2go. https://learn.microsoft.com/nl-nl/azure/lab-services/connect-virtual-machine-linux-x2go
09-02-2024, 21:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Terecht, echter ook: al geinfecteerd lost deze patch het probleem niet op. Een van de beste manieren om er achter te komen of je fartigate devices infected zijn is per netflow analyse.
Analyse ? Ik heb maar 1 analyse. Eruit gooien die meuk.
Hebben wij gedaan. Vroeger gebruikten we trouwens een open source SSL-VPN op basis van java. Weet de naam niet meer. Zal wel niet meer bestaan. Nu doen we X2go. https://learn.microsoft.com/nl-nl/azure/lab-services/connect-virtual-machine-linux-x2go

ssl explorer :)

dat is overgenomen door barracuda network en een stille dood gestorven. de open source variant idem dito
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.