Business
Trending
TechPulse op WhatsApp Nieuwe iPad Mini iPhone SE 4 De beste koptelefoons
Nieuws
Jeffrey van de Velde

Ruim 16.000 Fortinet-apparaten wereldwijd gekraakt via achterdeur

Fortinet
© iStock / JHVEPhoto
Een nieuwe symlink-achterdeur is aangetroffen op meer dan 16.000 Fortinet-apparaten. Hackers kunnen deze backdoor misbruiken om gevoelige bestanden op getroffen systemen in te zien.

De Shadowserver Foundation, die het lek bij Fortinet aan het licht bracht, meldde eerder dat het om “ruim 14.000 apparaten” ging. Dat aantal is inmiddels bijgesteld naar 16.620 systemen. De werkelijke omvang van de symlink-infecties kan echter aanzienlijk groter zijn.

De symlink-backdoor maakt gebruik van een zogenoemd persistence-mechanisme om read-only toegang te behouden tot het rootbestandssysteem van FortiGate-apparaten. Hiermee kunnen aanvallers op afstand, zonder dat slachtoffers dat opmerken, bestanden op de systemen lezen.

Verband met eerder ontdekt zerodaylek

Fortinet waarschuwde onlangs al voor een dergelijk persistence-mechanisme (symlink) dat werd aangetroffen op eerder gecompromitteerde FortiGate-apparaten. Daarbij verwees het bedrijf naar een zerodaykwetsbaarheid uit 2023. In 2024 bracht Fortinet een oplossing uit voor dat lek, maar die blijkt onvoldoende te zijn voor gebruikers die destijds al zijn getroffen.

Hackers is het, zoals nu ook door de Shadowserver Foundation wordt gemeld, gelukt om een symlink-backdoor te installeren op duizenden systemen. Hoewel de zeroday inmiddels is gepatcht, had dit geen effect op reeds geplaatste achterdeuren.

Voor de backdoor werd een symbolische link aangemaakt tussen het userbestandssysteem en het rootbestandssysteem. Dit gebeurde in de map met taalbestanden voor de SSL-VPN. Omdat deze map openbaar toegankelijk is, kregen aanvallers read-only toegang tot (gevoelige) bestanden van slachtoffers. Detectie door beveiligingssoftware werd omzeild doordat alle wijzigingen alleen in het userbestandssysteem werden aangebracht.

Fortinet vernieuwt AV/IPS-handtekening

Alle eigenaars van een getroffen FortiGate-apparaat zijn inmiddels geïnformeerd over de symlink-achterdeur. Hen is verzocht onmiddellijk actie te ondernemen. Concreet betekent dit onder meer dat IT-beheerders alle inloggegevens moeten resetten en de overige instructies uit de waarschuwingsmail dienen op te volgen.

De backdoor wordt inmiddels herkend door een nieuwe AV/IPS-handtekening, die de symbolische link kan detecteren en verwijderen. Daarnaast bevat de nieuwste FortiOS-firmware een functie om dergelijke links automatisch op te sporen. Tot slot heeft Fortinet aangekondigd dat onbekende mappen en bestanden voortaan niet toegankelijk zijn via de ingebouwde webserver.

Uitgelicht artikel Fortinet Fortinet getroffen door cyberaanval: 440 GB aan data gestolen
Beveiligingbusinessfortigatefortinetfortios
Jeffrey van de Velde
Als gepassioneerd technologiejournalist duikt Jeffrey dagelijks met een kritische blik in het laatste nieuws over smartphones, telecommunicatie, hardware en elektrische fietsen. Hoe sneller de evoluties in de techwereld gaan, hoe beter, vindt hij.

Gerelateerde artikelen

Agenda

May

21

Advanced Engineering 2025 - Flanders Expo

Jun

04

Gratis webinar: The AI Profit 
Toolkit

Nieuwsbrief

Volg ons

Instagram
YouTube
Advanced Engineering 2025: laat je inspireren om te innoveren

Advanced Engineering 2025: laat je inspireren om te innoveren

Registreer voor gratis toegang

Trending berichten

Business