Fortinet meldt lekken van duizenden inloggegevens van VPN-gebruikers
Het Amerikaanse cyberbeveiligingsbedrijf Fortinet publiceerde op 8 september 2021 een blogpost waarin het publiek werd geïnformeerd over het lek van ongeveer 87.000 SSL-VPN's FortiGate-apparaten geproduceerd door het bedrijf. Het lek was afkomstig van apparaten die nog niet waren gepatcht tegen de kwetsbaarheid CVE-2018-13379.
De kwetsbaarheid in kwestie, die een 'kritieke' score van 9+ kreeg, ontving al in 2019 een beveiligingsupdate om het probleem aan te pakken, dus dit is absoluut het type lek dat voortkomt uit systemen en apparaten waarop aanzienlijk verouderde software werd gebruikt. Dit neemt echter niet weg dat het lek echt is.
Threatpost meldde dat verder, volgens beveiligingsonderzoekers, een niet nader genoemde dreigingsactor veel meer inloggegevens heeft gelekt die zijn gekoppeld aan Fortinet VPN's. Een team dat samenwerkte met beveiligingsbedrijf Advanced Intel controleerde de IP-adressen die aan de inloggegevens waren gekoppeld en ontdekte dat ze toebehoorden aan apparaten over de hele wereld. De grootste delen van het gerapporteerde grotere lek van referenties behoren tot IP's in India, Taiwan en Italië.
De exploit die wordt misbruikt in de niet-gepatchte VNP's is bekend bij de infosec-gemeenschap. Het maakte zelfs in 2020 de snit als een van de 12 meest misbruikte kwetsbaarheden.
Het feit dat vergelijkbare oude, bekende en al lang gepatchte problemen en kwetsbaarheden nog steeds leiden tot gegevensdiefstal en misbruik door kwaadwillenden, toont aan dat een aanzienlijk aantal systemen verouderde software en vaak ook firmware gebruiken.
Het belang van het up-to-date houden van al uw hardware en software naar de laatst mogelijke versie, zelfs als u een thuisgebruiker bent en geen beheerder van een bedrijfsnetwerk, kan niet genoeg worden benadrukt. Soortgelijke oude kwetsbaarheden zijn te vinden in duizenden apparaten met oude versies van hun software en geven kwaadwillenden een vruchtbare voedingsbodem voor exploitatie jaren nadat de ontwikkelaars het probleem hebben gepatcht, simpelweg omdat duizenden systemen ongepatcht blijven.
