NCSC informeert organisaties over gelekte Fortinet-wachtwoorden

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) meldt dat inloggegevens van firewalls en vpn-gebruikers op internet zijn gelekt en dat meerdere Nederlandse organisaties daarover zijn benaderd. Afgelopen woensdag werd bekend dat criminelen gegevens van circa 74.000 Fortinet-firewalls en vpn-gateways bezit­ten en deze lijsten te koop of gratis aanbieden. Omdat de omvang van de campagne nog onduidelijk is, is het mogelijk dat niet alle getroffen partijen al zijn gewaarschuwd; het NCSC verwijst naar het overzicht van cybersecuritybedrijf Hudson Rock om te controleren of een organisatie voorkomt in de datasets.

Het NCSC adviseert organisaties een eigen risico- en impactanalyse te doen en systematisch te zoeken naar aanwijzingen voor misbruik: controleer logs, kijk naar verdachte accounts en onderzoekt mogelijke vervolgactiviteiten na eerste toegang. Internationale partners hebben aanvullende maatregelen geadviseerd: het Australische ACSC en het Amerikaanse CISA raden aan admin- en vpn-wachtwoorden te wijzigen, terwijl het Britse NCSC zelfs een fabrieksreset van Fortinet-apparaten aanbeveelt omdat alleen wachtwoordwijziging mogelijk onvoldoende is om een aanvaller te verwijderen. Organisaties wordt aangeraden deze stappen direct te doorlopen en indien nodig externe forensische hulp in te schakelen.