Fortinet geeft ip-adressen gebruikt bij aanvallen op FortiManager-servers
Fortinet heeft meer informatie gegeven over de aanvallen waar FortiManager-servers al maanden het doelwit van zijn, waaronder ip-adressen die de aanvallers gebruiken. Aanvallers maken al zeker sinds juni misbruik van een kritieke kwetsbaarheid in FortiManager, aangeduid als CVE-2024-47575. Op het moment dat de aanvallen plaatsvonden was er geen update voor de kwetsbaarheid beschikbaar. De Shadowserver Foundation, een organisatie die zich bezighoudt met de bestrijding van cybercrime, stelde onlangs dat alle organisaties met een FortiManager-server ervan moeten uitgaan dat het systeem is gecompromitteerd, tenzij uitgebreid onderzoek uitwijst dat dit niet het geval is.
FortiManager is een netwerkapparaat waarmee organisaties al hun Fortinet-apparaten kunnen beheren. Een succesvolle aanval kan dan ook vergaande gevolgen voor organisaties hebben, omdat zo ook andere apparaten zijn aan te vallen die vaak een belangrijke rol in het netwerk spelen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand willekeurige code of commando's op kwetsbare apparaten uitvoeren. Bij de nu waargenomen aanvallen stelen aanvallers configuratiedata van de aangevallen FortiManager-server. Deze data bevat configuratiegegevens van zowel via de FortiManager beheerde apparaten, alsmede de gebruikers van deze apparaten en hun gehashte wachtwoorden.
De afgelopen dagen heeft Fortinet meer informatie aan het beveiligingsbulletin over CVE-2024-47575 toegevoegd. Het gaat onder andere om Indicators of Compromise (IoCs), waarmee organisaties kunnen kijken of hun FortiManager-servers gecompromitteerd zijn. De nieuwste IoCs bestaan onder andere uit verschillende ip-adressen die de aanvallers gebruiken of hebben gebruikt. Updates voor de kwetsbaarheid zijn al voor het uitkomen van het beveiligingsbulletin onder klanten beschikbaar gemaakt. Organisaties worden opgeroepen de update te installeren mocht dat nog niet zijn gedaan. De Duitse overheid liet laatst weten dat het bekend is met tientallen gecompromitteerde FortiManager-servers in het land. Ook de Britse overheid meldde aanvallen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
