Onderzoekers hebben een actief misbruik vastgesteld van een kritieke kwetsbaarheid in Fortinet FortiManager en FortiManager Cloud. Deze kwetsbaarheid, bekend onder CVE-2024-47575, maakt het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren en zo controle over het systeem te verkrijgen. FortiManager is een essentieel netwerkapparaat waarmee organisaties hun Fortinet-apparatuur beheren, waardoor de impact van deze kwetsbaarheid op een schaal van 1 tot 10 is beoordeeld met een 9,8.

Hoewel Fortinet eerder een patch heeft uitgebracht, blijkt deze niet volledig afdoende wanneer er al misbruik heeft plaatsgevonden. Aanvallers kunnen via een geldig FortiGate-certificaat een niet-geautoriseerd apparaat registreren, wat toegang geeft tot netwerkconfiguraties en VPN-gegevens. Fortinet heeft daarom een nieuwe patch beschikbaar gesteld en adviseert aanvullende mitigaties, zoals het blokkeren van onbekende apparaten en het gebruik van aangepaste certificaten. Daarnaast is er Proof-of-Concept-code beschikbaar die de methode van misbruik beschrijft.

Het Digital Trust Center raadt aan om de beveiligingsupdates zo snel mogelijk te installeren. Omdat de kwetsbaarheid al langere tijd wordt misbruikt, is alleen updaten niet voldoende. Organisaties wordt geadviseerd om accounts te resetten en certificaten te vernieuwen. Fortinet heeft in FG-IR-24-423 Indicators of Compromise (IoC's) beschikbaar gesteld die kunnen helpen bij forensisch onderzoek. Bij aanwijzingen van misbruik is het belangrijk om direct actie te ondernemen.

Meer informatie en het volledige advies zijn te vinden op de website van het Nationaal Cyber Security Centrum (NCSC). Ook zijn er diverse andere Fortinet cyber alerts beschikbaar voor aanvullende context en updates.