Een grootschalige cybercampagne met de naam “FortiBleed” heeft inloggegevens van tienduizenden Fortinet-firewalls en VPN-systemen wereldwijd blootgelegd. Hierdoor zouden aanvallers mogelijk toegang hebben gekregen tot bedrijfsnetwerken, overheidsinstanties en kritieke infrastructuur.
Volgens beveiligingsonderzoekers zijn tussen de 30.000 en 74.000 Fortinet-apparaten in bijna 200 landen getroffen, waaronder Nederland. De gelekte gegevens bevatten naar verluidt gebruikersnamen, e-mailadressen, wachtwoorden en andere authenticatiegegevens van organisaties variërend van grote bedrijven tot overheidsaannemers.
Grote organisaties mogelijk getroffen
Volgens onderzoekers behoren de getroffen systemen tot organisaties uit uiteenlopende sectoren, waaronder technologie, telecommunicatie, financiën, productie en logistiek. Bedrijven die volgens de onderzoekers in de gelekte gegevens voorkomen zijn onder meer Oracle, Lenovo, FedEx, Samsung, Siemens, Comcast en Accenture, evenals een defensieaannemer met banden met de NAVO.
Daarnaast zouden de aanvallers ook informatie over de getroffen organisaties hebben verzameld, waaronder bedrijfsomvang, omzetcijfers en het aantal medewerkers.
Geen nieuw lek in Fortinet-software
In tegenstelling tot veel grootschalige cyberaanvallen is er momenteel geen bewijs dat de aanvallers misbruik hebben gemaakt van een onbekende kwetsbaarheid in Fortinet-software.
Onderzoekers vermoeden dat de campagne voornamelijk gebruikmaakte van eerder gestolen inloggegevens, credential stuffing-aanvallen en password spraying. Nadat aanvallers toegang kregen tot Fortinet SSL-VPN-systemen, zouden zij authenticatieverkeer hebben onderschept en aanvullende inloggegevens hebben buitgemaakt. Hierdoor konden zij zich verder binnen interne netwerken bewegen.
Nederlandse autoriteiten roepen organisaties op tot onderzoek
Het Nederlandse Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven aan organisaties die Fortinet-apparatuur gebruiken. Zij worden opgeroepen te controleren of zij mogelijk zijn getroffen.
Volgens het NCSC zijn meerdere Nederlandse organisaties inmiddels geïnformeerd nadat hun inloggegevens werden aangetroffen in bekende datasets. De instantie waarschuwt echter dat de volledige omvang van de campagne nog onduidelijk is en dat er mogelijk meer slachtoffers zijn die zich nog niet bewust zijn van de blootstelling.
Het NCSC adviseert organisaties om VPN- en authenticatielogs te controleren, wachtwoorden opnieuw in te stellen, actieve VPN-sessies te beëindigen, te zoeken naar ongeautoriseerde accounts en waar mogelijk multi-factor authenticatie (MFA) af te dwingen.
