Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een toename van ransomware-aanvallen waarbij cybercriminelen misbruik maken van kritieke kwetsbaarheden in Fortinet FortiOS- en FortiProxy-apparaten. Zodra de aanvallers het systeem hebben gecompromitteerd installeren de aanvallers zelf de beveiligingsupdates, om zo te voorkomen dat andere aanvallers er misbruik van maken. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway.

De aanvallers maken bij hun aanvallen gebruik van twee kwetsbaarheden, aangeduid als CVE-2024-55591 en CVE-2025-24472. De twee beveiligingslekken betreffen een 'authentication bypass'. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module of het versturen van speciaal geprepareerde CSF proxy requests de authenticatie omzeilen en 'super-admin privileges' krijgen. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

Misbruik vindt al zeker sinds januari plaats. Die maand kwam Fortinet ook met beveiligingsupdates voor de problemen, hoewel het bestaan van CVE-2025-24472 pas een maand na het uitkomen van de updates bekend werd gemaakt. Volgens het NCSC is er een toename van aanvallen waarbij de kwetsbaarheden worden misbruikt.

Daarnaast installeren de aanvallers de beschikbaar gestelde updates, om zo misbruik door anderen te voorkomen. Ook kunnen de aanvallers bestaande accounts vpn-accounts overnemen, wat detectie op kwetsbare systemen bemoeilijkt, aldus het NCSC. "Hierdoor kunnen organisaties ten onrechte aannemen dat hun systemen veilig en up-to-date zijn, terwijl ze in werkelijkheid al gecompromitteerd kunnen zijn."