Criminelen maken misbruik van een bekende kwetsbaarheid in Fortinet vpn-servers om bedrijven met ransomware te infecteren, zo waarschuwt antivirusbedrijf Kaspersky. Het lek, CVE-2018-13379, bevindt zich in de FortiOS SSL VPN webportal. FortiOS is het besturingssysteem dat in de netwerkoplossingen van Fortinet wordt gebruikt, zoals firewalls en vpn-servers.

Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden, waaronder de “sslvpn_websession”. Dit bestand bevat de inloggegevens van ingelogde vpn-gebruikers in plain text. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit.

Zodra aanvallers toegang hebben wordt vanaf de gecompromitteerde vpn-server de rest van het bedrijfsnetwerk aangevallen. Hiervoor gebruiken de aanvallers onder andere de Mimikatz-tool. Daarmee kunnen de inloggegevens worden gestolen van gebruikers die recentelijk op het gecompromitteerde systeem hebben ingelogd. Kaspersky ontdekte een aanval waarbij aanvallers op deze manier de inloggegevens van het domeinbeheerdersaccount in handen kregen.

Via dit account werden de overige systemen in het netwerk besmet en konden de aanvallers de Cring-ransomware uitrollen. Onlangs waarschuwde ook de FBI voor misbruik van het betreffende beveiligingslek in FortiOS, alsmede twee andere kwetsbaarheden. Organisaties worden dan ook opgeroepen om hun systemen te updaten.

Image

Source