Het AIVD en MIVD hebben tijdens een incident response onderzoek op een aantal FortiGate-apparaten van het defensienetwerk nieuwe malware aangetroffen. Deze RAT (Remote Acces Trojan) is een gerichte persistence malware voor het behouden van toegang en die specifiek voor Fortigate apparaten is ontwikkeld. Voor initiële toegang wordt de kwetsbaarheid misbruikt met kenmerk CVE-2022-42475 (FortiOS SSL-VPN).

Edge devices zoals Firewalls, VPN-servers en E-mailservers vormen een interessant doelwit omdat deze componenten zich aan de rand van het netwerk bevinden en geregeld een directe verbinding hebben met het internet. Er zijn verder geen spectaculaire mitigerende maatregelen gepubliceerd. Er wordt verder niet meer dan basis security maatregelen en best practices geadviseerd. Daarnaast raadt het NCSC aan om regelmatig analyses uit te voeren op de logging om afwijkend activiteit te detecteren. Hierbij kunt u denken aan inlog-pogingen op rare tijdstippen, onbekende IP-adressen of ongeautoriseerde configuratiewijzigingen. Tot slot heeft het adviesrapport checksums gepubliceerd van bestanden die verband houden met COATHANGER.

Geplaatst door

PQR

PQR streeft elke dag naar de hoogste kwaliteit producten, diensten en service. Strategisch adviseur voor moderne software defined datacenter- en workspaceoplossingen. IT-advies. Future workspace.