Fortinet waarschuwt voor actieve aanvallen op een vijf jaar oude kwetsbaarheid in FortiOS. De kwetsbaarheid maakt het mogelijk om tweefactorauthenticatie te omzeilen bij VPN-verbindingen, ondanks dat er al in 2020 een patch beschikbaar kwam.
De kwetsbaarheid CVE-2020-12812 treft het SSL VPN-onderdeel van FortiOS, het besturingssysteem dat draait op Fortinet-apparaten zoals firewalls en VPN-systemen. Aanvallers kunnen de ingeschakelde 2FA voor een VPN-account omzeilen door de gebruikersnaam te wijzigen. Het probleem doet zich voor wanneer 2FA staat ingeschakeld in de “user local” setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd.
Op een schaal van 1 tot en met 10 kreeg de kwetsbaarheid een score van 9.8, wat duidt op een kritiek beveiligingslek. Fortinet publiceerde op 13 juli 2020 een beveiligingsbulletin en maakte patches beschikbaar.
Waarschuwingen bleven zonder gehoor
In 2021 waarschuwden de FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) voor misbruik van het beveiligingslek. Dit terwijl patches op dat moment al meer dan een jaar beschikbaar waren.
Een aantal dagen geleden meldde Fortinet opnieuw dat aanvallers de kwetsbaarheid nog altijd bij aanvallen inzetten. Het gaat daarbij om configuraties die gebruikmaken van LDAP. Details over de aanvallen zelf, zoals getroffen organisaties en de aard van de aanvallen, geeft Fortinet niet.
Fortinet opnieuw doelwit
De waarschuwing voor aanvallen op op FortiOS valt samen met kwetsbaarheden die in andere Fortinet-producten zijn gevonden. Vorige maand werd bekend dat het bedrijf opnieuw getroffen is door een zero-day-lek in FortiWeb. Ook dat beveiligingslek werd actief misbruikt voordat er een patch beschikbaar was.
Fortinet benadrukt in de recente waarschuwing in welke gevallen de aanvallen mogelijk zijn. Ook herhaalt het securitybedrijf dat een beveiligingsupdate al meer dan vijf jaar beschikbaar is. De boodschap is duidelijk: organisaties die de patch nog niet hebben geïnstalleerd, lopen aanzienlijke risico’s.