Hackers lekken wachtwoorden van 87.000 Fortinet VPN-apparaten

Fortinet waarschuwde in 2019 voor een kwetsbaarheid die aangeduid werd met CVE-2018-13379. Via het lek kunnen aanvallers bestanden uitlezen en toegang verkrijgen tot essentiële bedrijfssystemen. De kwetsbaarheid werd in mei 2019 gedicht middels een patch, maar lang niet iedereen installeerde deze. In augustus en september 2019 werd hier extra over gewaarschuwd, nadat er exploitcode verscheen en kwaadwillenden actief misbruik maakten van het gat. In juli 2020, april 2021 en juni 2021 verschenen er nog extra waarschuwingen en herhaalde Fortinet het dringende advies om de patch te installeren.

Nu blijkt dat aanvallers via het lek wachtwoorden hebben gestolen en deze gratis hebben gedeeld op hackfora. Volgens Bleeping Computer gebeurde dat afgelopen zomer, wat betekent dat er ook toen nog systemen waren die de patch niet geïnstalleerd hadden. In totaal gaat het om toegangsgegevens van 87.000 FortiGate SSL-VPN-apparaten. Bleeping Computer heeft de lijst met gestolen data gezien en stelt dat het om 498.908 VPN-inloggegevens gaat. Volgens Advanced Intel komen slachtoffers uit 74 landen, waaronder Italië, Frankrijk en Duitsland.

"Hoewel systemen inmiddels mogelijk wel gepatcht zijn, blijven de systemen kwetsbaar als de wachtwoorden niet gereset zijn", aldus Fortinet in een blogbericht. Het bedrijf adviseert om VPN's uit te schakelen en apparaten te upgraden naar FortiOS 5.4.13, 5.6.14, 6.0.11 of 6.2.8, of naar nieuwere versies. Ook worden bedrijven geadviseerd hun wachtwoorden te vervangen. 

Veelgebruikte kwetsbaarheid

Het is al langer duidelijk dat de kwetsbaarheid in FortiGate nog altijd misbruikt wordt. Het lek stond zelfs op de derde plaats in de lijst van meest misbruikte kwetsbaarheden in 2020. Op de tweede plaats stond het lek in de VPN-dienst van Pulse Secure, dat rond dezelfde tijd in 2019 in opspraak kwam. Bovenaan de lijst staat het bekende Citrix-gat, dat in december 2019 ontdekt werd.