Wereldwijd hebben aanvallers zo'n 17.000 Fortinet-firewalls van een 'symlink-backdoor' voorzien, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Het aantal waargenomen gecompromitteerde firewalls is de afgelopen dagen toegenomen, ook in Nederland. Hier zou het om 177 firewalls gaan, aldus de laatste cijfers.

Vorige week waarschuwde Fortinet dat aanvallers gebruikmaken van bekende kwetsbaarheden, waarvoor in december 2022 (CVE-2022-42475), juni 2023 (CVE-2023-27997) en februari 2024 (CVE-2024-21762) beveiligingsupdates verschenen, om FortiGate-firewalls te compromitteren. Zodra er toegang is verkregen maken de aanvallers een symbolic link aan die het user filesystem en root filesystem aan elkaar koppelt, in een map die wordt gebruikt om het ssl vpn-onderdeel van de firewall van taalbestanden te voorzien.

Wanneer de firewall vervolgens voor de betreffende kwetsbaarheid wordt geüpdatet blijft de symbolic link bestaan. Daardoor behoudt de aanvaller read-only toegagng tot bestanden op de firewall, waaronder de configuratie. Klanten die de ssl vpn-functie nooit hebben ingeschakeld lopen geen risico. Eerder deze week voerde The Shadowserver Foundation een scan uit die zo'n 12.000 gecompromitteerde firewalls opleverde. De afgelopen dagen is dit aantal naar zo'n 17.000 firewalls gestegen. Het gaat hier specifiek om firewalls met de betreffende symlink-backdoor.

"Dit zijn geen SOHO-routers. Dit zijn corporate edge boxes. Echte netwerken. Echte blootstelling", zegt beveiligingsexpert Florian Roth. "Je hebt Indicators of Compromise nodig. Je hebt advies nodig. Al het andere is schoonmaaktheater. Deze apparaten zijn bloated, buggy, ontoegankelijk en lastig te onderzoeken. Aanvallers krijgen root. Verdedigers krijgen een beperkte shell."