Het Nationaal Cyber Security Centrum (NCSC) roept Nederlandse organisaties op om haast te maken met het patchen van een kritieke kwetsbaarheid in Fortinet FortiClient EMS. Het Amerikaanse cyberagentschap Cisa op zijn beurt draagt overheidsinstanties in de VS op om de update voor het beveiligingslek binnen drie dagen te installeren. Volgens The Shadowserver Foundation zijn in Nederland 45 FortiClient EMS-systemen vanaf het internet toegankelijk. Hoeveel er daarvan kwetsbaar zijn, is onbekend.
FortiClient EMS (Endpoint Management Server) is een oplossing waarmee beheerders op afstand systemen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. Een gecompromitteerd EMS kan dan ook vergaande gevolgen hebben. Op 4 april waarschuwde Fortinet voor een ‘Improper Access Control’-kwetsbaarheid in de software. Daardoor kan een aanvaller ongeautoriseerde code of commando’s op het systeem uitvoeren. Verdere details over de kwetsbaarheid zijn niet gegeven.
Bij het uitbrengen van de beveiligingsupdates meldde Fortinet ook dat aanvallers actief misbruik van het probleem maken. Het NCSC kwam vanwege de kwetsbaarheid al met een standaardbeveiligingsbulletin, maar geeft nu ook een aparte waarschuwing af. ‘Deze kwetsbaarheid wordt beoordeeld als zeer ernstig en bevindt zich in de fase van actief misbruik.’ Het NCSC adviseert daarom om de beschikbare update meteen te installeren. ‘Er is op dit moment (nog) geen publieke proof-of-concept-code of exploit bekend. Het NCSC verwacht echter wel op korte termijn dat de die code beschikbaar komt, waardoor de kans op scanverkeer en grootschalig misbruik toeneemt.
Cyberagentschap
Cisa houdt een overzicht bij van actief aangevallen kwetsbaarheden. Het Amerikaanse cyberagentschap kan federale overheden verplichten om deze beveiligingslekken binnen een bepaalde termijn te patchen. Normaliter wordt hiervoor een periode van twee weken gehanteerd. Alleen in het geval van ernstige kwetsbaarheden wijkt het Cisa hier vanaf, wat het ook doet in het geval van het Fortinet-lek. Federale overheidsinstanties hebben nu drie dagen de tijd gekregen om de beschikbaar gestelde update te installeren.
The Shadowserver Foundation, een stichting die onderzoek naar kwetsbare systemen op internet doet, detecteerde wereldwijd 1.800 FortiClient EMS-systemen die vanaf het internet toegankelijk zijn, waarvan 45 in Nederland. Het is onbekend hoeveel van deze systemen nog niet zijn gepatcht.
Mogen nationale veiligheidsorganisaties dit lek gebruiken om software te installeren die het overnemen van de apparaten door hackers verhinderd? In de VS mag dit geloof ik wel.
Op zijn minst moeten er waarschuwingen afgegeven worden en zelfs hoge boetes als men de kwetsbaarheden niet binnen korte tijd verhelpt.