Beveiligingsonderzoekers en nationale cybersecurityorganisaties melden een grootschalige misbruikcampagne onder de naam FortiBleed. Hierbij proberen aanvallers toegang te krijgen tot Fortinet FortiGate-firewalls en SSL Virtual Private Network (SSL-VPN)-omgevingen door gebruik te maken van eerder buitgemaakte of gelekte inloggegevens. Organisaties met Fortinetapparatuur wordt geadviseerd te controleren of zij mogelijk getroffen zijn.

Er is geen aanwijzing dat een nieuwe kwetsbaarheid wordt misbruikt. De aanvallers zetten vooral gestolen gebruikersnamen en wachtwoorden opnieuw in, gecombineerd met geautomatiseerde technieken zoals brute-force-aanvallen en credential stuffing. Onderzoekers schatten dat wereldwijd tussen de 30.000 en meer dan 70.000 Fortinetapparaten zijn geraakt. In meerdere gevallen zijn datasets gevonden met geldige gebruikersnamen, e-mailadressen en wachtwoorden. Na initiële toegang onderscheppen de aanvallers netwerkverkeer van Fortinetapparaten om extra inloggegevens te verkrijgen, waarmee ze verdere toegang tot interne netwerken kunnen verkrijgen.

Meerdere organisaties zijn inmiddels geïnformeerd over aangetroffen inloggegevens. Omdat de omvang van de campagne nog niet volledig bekend is, kunnen mogelijk niet alle getroffen organisaties bereikt zijn. Organisaties wordt aangeraden actief te controleren of zij voorkomen in de bekende datasets via een controlewebsite.

Het is niet vastgesteld welke vervolgactiviteiten na de eerste toegang hebben plaatsgevonden, waardoor de impact per organisatie kan verschillen. Daarom wordt geadviseerd een eigen risico- en impactanalyse uit te voeren en onder andere logs van VPN, authenticatie en beheer te controleren op verdachte inlogpogingen, onbekende IP-adressen en ongebruikelijke inlogtijden. Ook het controleren op nieuwe of verdachte accounts, het overwegen van wachtwoordresets en het beperken van SSH-toegang tot Fortinetapparatuur zijn aanbevolen maatregelen. Aanvallers hebben in meerdere gevallen netwerkverkeer (packet captures) verzameld, waardoor aanvullende inlog- of authenticatiegegevens zijn buitgemaakt.

De ontwikkelingen rond FortiBleed worden nauwgezet gevolgd en dit bericht wordt geactualiseerd zodra nieuwe informatie beschikbaar komt. Organisaties wordt geadviseerd hun omgeving actief te monitoren en passende maatregelen te nemen bij signalen van misbruik.