Gisteren, dinsdag 6 februari 2024, heeft de NOS nieuws gepubliceerd over malware die gevonden werd op Fortigate-apparaten van de MIVD. Aanvallers wisten via een bekende kwetsbaarheid (CVE-2022-42475) toegang tot de apparatuur te krijgen. Het gaat om een kritieke kwetsbaarheid in FortiOS SSL-VPN waarvoor Fortinet op 12 december 2022 waarschuwde. Het MIVD / AIVD heeft informatie gedeeld over de gevonden malware, zodat bedrijven en organisaties kunnen controleren of zij slachtoffer zijn.
(Raadpleeg hiervoor de bijlage via de volgende link: https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/februari/6/mivd-aivd-advisory-coathanger-tlp-clear/mivd-advisory-coathanger-tlp-clear.pdf.)

Stand van zaken
o Op 12 december 2022 werd de CVE bekendgemaakt. Als reactie hierop heeft Previder direct maatregelen genomen. Alle beheerde Fortigates firewalls zijn voorzien van een firmware-update. Deze updates zijn uitgevoerd op de avonden van 13 en 14 december 2022.
o Previder heeft gedurende december 2022 de IOC van deze CVE nauwlettend in de gaten gehouden. Hierbij hebben we geen inbreuk kunnen constateren.
o In het document van de MIVD / AIVD worden controles beschreven om te verifiëren of een Fortigate geïnfecteerd is. Deze controles zijn vanochtend uitgevoerd op al onze managed firewall clusters en daar zijn op dit moment geen indicaties uitgekomen dat er firewalls geïnfecteerd zijn met malware.

Advies
We weten dat verschillende beheerorganisaties van Previder acties hebben uitgezet om Fortigates waarop wij GEEN beheerverantwoordelijkheid hebben te controleren. Mocht je dit nog niet gedaan hebben, adviseren we dit zo spoedig mogelijk te doen.

Meer informatie
Wil je meer informatie over deze kwetsbaarheid? Ga dan naar de website van het Nationaal Cyber Security Centrum (https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0763), NOS (https://nos.nl/artikel/2507793-china-spioneert-via-malware-bij-defensie) of Security.nl.

Heb je naar aanleiding van dit bericht nog vragen? Neem dan contact met ons op.