De kritieke kwetsbaarheid in Fortinet FortiManager waarvoor gisteren een beveiligingsbulletin verscheen wordt al zeker sinds juni misbruikt om configuratiedata te stelen, zo stelt securitybedrijf Mandiant, dat meer dan vijftig mogelijk gecompromitteerde apparaten ontdekte en over grootschalig misbruik spreekt.

FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben. Via het beveiligingslek kan een aanvaller willekeurige code of commando's op kwetsbare apparaten uitvoeren. Mandiant ontdekte op 27 juni de eerste aanvallen waarbij misbruik van de kwetsbaarheid werd gemaakt.

Een groep aanvallers, die door Mandiant UNC5820 wordt genoemd, gebruikt het beveiligingslek om configuratiedata van de aangevallen FortiManager te stelen. Deze data bevat configuratiegegevens van zowel via de FortiManager beheerde apparaten, alsmede de gebruikers van deze apparaten en hun gehashte wachtwoorden. Met de gestolen gegevens kunnen de aanvallers zich lateraal binnen Fortinet-apparaten bewegen en zo de bedrijfsomgeving binnendringen, aldus Mandiant. Het securitybedrijf zegt geen informatie over het doel en de locatie van de aanvallers te hebben. Mandiant informeerde Fortinet, dat klanten de afgelopen periode informeerde.