Militaire Inlichtingen- en Veiligheidsdienst meldt spionage via oude kwetsbaarheid in FortiGate (Fortinet) 

Gisteren verscheen in de media het bericht dat de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) Chinese cyberspionage in Nederland heeft ontdekt (bron: defensie.nl), waarbij een oude kwetsbaarheid in Fortigate producten actief werd misbruikt. De dienst ontdekte geavanceerde Chinese malware die dit mogelijk maakt. Een Chinese statelijke actor is hiervoor verantwoordelijk. Dit stelt de MIVD op basis van eigen inlichtingen vast. 

De malware wordt ingezet bij systemen (FortiGate) van de fabrikant Fortinet. Fortinet levert wereldwijd deze cyberbeveiliging. De aangetroffen malware installeerde een ‘achterdeurtje’ door gebruik te maken van een oude kwetsbaarheid uit december 2022 in FortiGate apparaten. De publicatie van de MIVD beschrijft dus géén nieuwe kwetsbaarheid in alle FortiGate apparaten.

Belangrijk om te weten: De IT-specialisten van ACA IT-Solutions hebben de benodigde updates destijds snel uitgevoerd voor opdrachtgevers waarvoor wij genoemde oplossingen en/of het beheer daarvan actief verzorgen. Deze systemen lopen derhalve geen risico dat deze kwetsbaarheid actief wordt misbruikt.

Remote Access Trojan

Het gaat om een zogenaamde ‘remote access trojan (RAT)’, ontworpen speciaal voor Fortigate apparaten. De malware wordt COATHANGER genoemd. China gebruikt dit type malware voor spionage op computernetwerken. De malware wordt ingezet bij systemen (FortiGate) van het bedrijf Fortinet. Hiermee kunnen  computergebruikers op afstand werken.  

Welke producten lopen risico? 

De versies van de volgende producten kunnen geïnfecteerd raken of zijn geraakt. 

• FortiOS version 7.2.0 through 7.2.2 
• FortiOS version 7.0.0 through 7.0.8 
• FortiOS version 6.4.0 through 6.4.10 
• FortiOS version 6.2.0 through 6.2.11 
• FortiOS version 6.0.0 through 6.0.15 
• FortiOS version 5.6.0 through 5.6.14 
• FortiOS version 5.4.0 through 5.4.13 
• FortiOS version 5.2.0 through 5.2.15 
• FortiOS version 5.0.0 through 5.0.14 
• FortiOS-6K7K version 7.0.0 through 7.0.7 
• FortiOS-6K7K version 6.4.0 through 6.4.9 
• FortiOS-6K7K version 6.2.0 through 6.2.11 
• FortiOS-6K7K version 6.0.0 through 6.0.14 
• FortiProxy version 7.2.0 through 7.2.1 
• FortiProxy version 7.0.0 through 7.0.7 
• FortiProxy version 2.0.0 through 2.0.11 
• FortiProxy version 1.2.0 through 1.2.13 
• FortiProxy version 1.1.0 through 1.1.6 
• FortiProxy version 1.0.0 through 1.0.7 

Wat kun je doen? 

Stap 1: update 
Maakt jouw organisatie gebruik van een Fortinet-product in bovenstaande lijst en is de update nog niet uitgevoerd? Dan is het advies om de update met zeer hoge urgentie door te laten voeren en het product te controleren op aanwijzingen van malware. Gezien de complexiteit van de update wordt geadviseerd dit te laten verzorgen door een gespecialiseerde IT-consultant. 

De IT-specialisten van ACA IT-Solutions hebben de benodigde updates destijds snel uitgevoerd voor opdrachtgevers waarvoor wij genoemde oplossingen en/of het beheer daarvan actief verzorgen.  

Behoort jouw organisatie niet tot de groep opdrachtgevers zoals hierboven beschreven, bijvoorbeeld omdat je zelf het beheer verzorgt of de Fortinet-diensten in het verleden elders hebt ondergebracht? Ons advies is om de beschikbare update en de controle op aanwezigheid van malware uit te laten voeren door een gespecialiseerde organisatie. Heb je hierbij hulp nodig van onze specialisten? Wij helpen je hier graag bij.  

Stap 2: check of jouw organisatie op dit moment veilig is?  
Er wordt sterk aangeraden dat organisaties die genoemde Fortinet-producten gebruiken te checken of misbruik heeft plaatsgevonden, zeker wanneer de update niet direct na bekendmaking van de CVE-melding met nummer CVE-2022-42475 (december 2022) is uitgevoerd. Tevens wordt benadrukt extra voorzichtig te zijn met alle internet-facing devices (edge), installeer voor deze devices de laatst beschikbare patches. 

Het NCSC (Nationaal Cyber Security Centrum) heeft deze kwetsbaarheid als zeer risicovol aangemerkt. Genoemde producten die de updates nog niet hebben voltooid zijn derhalve op dit moment niet veilig en vormen een potentieel doelwit voor kwaadwillenden.  

Twijfel je of je reeds bent aangevallen, constateer je verdachte activiteiten op jouw bedrijfsnetwerk of wil je graag zekerheid? ACA IT-Solutions kan deze controle voor u uitvoeren. Indien gewenst kan deze gecombineerd worden met een vulnerability scan inclusief rapportage. 

Hiermee krijg je direct een totaalbeeld van de ‘gezondheid’ van jouw netwerk. Deze scan heeft een reactieve werking en kan dienen als 0-meting voor een proactieve aanpak middels de ACA vulnerability management tool. Hiermee wordt jouw omgeving voortdurend en proactief, gescand op kwetsbaarheden. Neem voor meer informatie hierover contact met ons op.