'Hackers Fortinet-firewalls lekten werkwijze en tools via open directory'

In dit artikel:

Criminelen hebben de inloggegevens van tienduizenden Fortinet-firewalls en vpn-gateways buitgemaakt en online te koop gezet. Volgens cybersecuritybedrijf CloudSEK en onderzoeker Kevin Beaumont gaat het om ongeveer 74.000 apparaten wereldwijd, waarvan er in Nederland zo’n driehonderd zijn getroffen. De aanval kwam aan het licht nadat de daders hun werkwijze en tools in een open directory hadden achtergelaten.

Hoe de hackers precies binnenkwamen, is nog niet helemaal duidelijk. Fortinet zegt dat er geen sprake is van een nieuwe kwetsbaarheid: volgens het bedrijf zijn vooral eerder gestolen inloggegevens misbruikt, afkomstig uit bekende lekken waarvoor al updates waren uitgebracht, waarna zwakke wachtwoorden en het ontbreken van multifactorauthenticatie de rest deden. Beaumont betwijfelt of dat het hele verhaal is en denkt aan onbeveiligde systemen, nog niet gepatchte gaten of verborgen admin-accounts als mogelijke ingang.

De gevolgen lijken groot. De aanvallers zouden bij getroffen organisaties nieuwe beheerdersaccounts hebben aangemaakt, firewallregels hebben aangepast om toegang via SSH en RDP toe te staan, en VPN-tunnels hebben gebruikt om verder het netwerk in te komen. Vooral telecombedrijven en managed service providers waren doelwit, omdat zij via Fortinet-apparatuur verbindingen van klanten beheren. Beaumont waarschuwt dat organisaties zich te veel richten op futuristische AI-risico’s, terwijl basisbeveiliging zoals MFA op vpn-systemen nog steeds vaak ontbreekt.