NCSC: patch Fortinet-lek meteen

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties dringend om de recente beveiligingsupdate voor Fortinet FortiClient EMS direct te installeren. Op 4 april meldde Fortinet een ernstige "Improper Access Control"-fout in de Endpoint Management Server, waarmee beheerders op afstand FortiClient-installaties kunnen configureren (antivirus, webfilter, vpn, updates). Door de fout kan een aanvaller ongeautoriseerde code en commando’s uitvoeren op de EMS, en Fortinet meldt dat er al actieve misbruikgevallen zijn.

Het Amerikaanse CISA heeft federale instanties opgedragen de patch binnen drie dagen te doorvoeren (normaal is twee weken), uit zorg over de ernst en de actieve exploitatie. The Shadowserver Foundation telde wereldwijd ongeveer 1.800 FortiClient EMS-servers die vanaf het internet bereikbaar zijn; 45 daarvan staan in Nederland. Het is niet bekend hoeveel systemen nog onbegrepen of ongepatcht zijn.

Het NCSC verwacht dat proof-of-concept-code spoedig verschijnt, wat leidt tot meer scans en grootschalig misbruik. Aanbeveling: breng de door Fortinet uitgegeven updates onmiddellijk aan, beperk indien mogelijk internettoegang tot EMS-servers en volg aanvullende mitigaties van het NCSC/CISA om compromis en verdere verspreiding te voorkomen.