Arctic Wolf waarschuwt: Aanvallers kapen Fortinet-beveiliging via SSO-accounts
De cybersecurity-experts van Arctic Wolf Labs trekken aan de bel na de ontdekking van een geraffineerde aanvalsmethode gericht op Fortinet Fortigate-apparaten. Kwaadwillenden slagen erin om configuratiewijzigingen door te voeren op firewalls door gebruik te maken van Single Sign-On (SSO) accounts, waardoor zij onopgemerkt diep in bedrijfsnetwerken kunnen binnendringen.
In een recent gepubliceerd technisch rapport beschrijft Arctic Wolf hoe aanvallers zwakke plekken in de authenticatieketen uitbuiten. In plaats van een directe kwetsbaarheid in de software (een zogeheten zero-day), maken de aanvallers gebruik van legitieme, maar gecompromitteerde SSO-inloggegevens. Hiermee verkrijgen zij toegang tot de beheerinterface van Fortigate-toestellen.
Onzichtbare configuratiewijzigingen
Zodra de aanvallers binnen zijn via het SSO-account, passen zij de configuratie van het apparaat aan. Het doel hiervan is vaak het creëren van 'backdoors': nieuwe beheerdersaccounts of aangepaste firewall-regels die hen langdurige toegang geven tot het netwerk, zelfs als het oorspronkelijke wachtwoord wordt gewijzigd.
Omdat de wijzigingen worden doorgevoerd via een schijnbaar vertrouwd SSO-account, worden deze acties door veel standaard monitoringtools niet direct als verdacht aangemerkt. Dit maakt de aanvalsmethode bijzonder gevaarlijk voor organisaties die blind vertrouwen op de veiligheid van hun centrale inlogsystemen.
Aanbevelingen voor beheerders
Arctic Wolf benadrukt dat het essentieel is om de logs van Fortigate-apparaten nauwgezet te controleren op ongebruikelijke inlogpogingen of wijzigingen in de systeemconfiguratie die niet zijn geautoriseerd.
De belangrijkste beveiligingsadviezen zijn:
Multi-Factor Authentication (MFA): Zorg dat MFA niet alleen op het SSO-niveau, maar ook specifiek voor toegang tot kritieke netwerkinfrastructuur is afgedwongen.
Beperk de toegang: Schakel de beheerinterface (GUI) van firewalls uit voor het publieke internet en sta alleen toegang toe via vertrouwde IP-adressen of een beheerders-VPN.
Auditing: Controleer regelmatig de lijst met lokale beheerdersaccounts op de Fortigate-toestellen om te zien of er onbekende accounts zijn aangemaakt.
De ontdekking onderstreept de noodzaak voor een 'Zero Trust'-benadering, waarbij zelfs geverifieerde accounts continu gecontroleerd worden op afwijkend gedrag binnen de netwerkomgeving.
Meer over Security
Over Witold Kepinski
