Nederland telt meer dan honderdvijftig gecompromitteerde Fortinet-firewalls, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De meeste infecties werden in de Verenigde Staten, Japan en Taiwan geteld. Vorige week waarschuwde Fortinet dat aanvallers gebruikmaken van bekende kwetsbaarheden, waarvoor in december 2022 (CVE-2022-42475), juni 2023 (CVE-2023-27997) en februari 2024 (CVE-2024-21762) beveiligingsupdates verschenen, om FortiGate-firewalls te compromitteren.

Zodra er toegang is verkregen maken de aanvallers een symbolic link aan die het user filesystem en root filesystem aan elkaar koppelt, in een map die wordt gebruikt om het ssl vpn-onderdeel van de firewall van taalbestanden te voorzien. Wanneer de firewall vervolgens voor de betreffende kwetsbaarheid wordt geüpdatet blijft de symbolic link bestaan, Daardoor behoudt de aanvaller read-only toegagng tot bestanden op de firewall, waaronder de configuratie. Klanten die de ssl vpn-functie nooit hebben ingeschakeld lopen geen risico.

The Shadowserver Foundation is een organisatie die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans naar kwetsbare systemen uitvoert. Bij de laatste scan werd naar gecompromitteerde Fortinet-firewalls gekeken waar aanvallers de symlink-methode hadden toegepast om toegang te behouden. Dit leverde meer dan tienduizend gecompromitteerde firewalls op, waaronder 154 in Nederland en 131 in België. Fortinet legt in de waarschuwing uit wat organisaties in dit geval kunnen doen.