Fortinet-lekken: gepatcht en toch besmet?

25 maart 2025

Cyber Security

Dinsdag 23 maart 2025 - door Redactie TT3P

Het Nationaal Cyber Security Centrum (NCSC) heeft afgelopen week een dringende waarschuwing gepubliceerd over actieve ransomware-aanvallen die gebruikmaken van kwetsbaarheden in Fortinet-apparatuur. Deze aanvalsmethode is niet alleen technisch geavanceerd, maar ook bijzonder verraderlijk. Zelfs organisaties die hun systemen op tijd hebben geüpdatet, kunnen ongemerkt zijn gecompromitteerd.

Wat maakt deze aanval anders dan andere incidenten? En waarom is dit relevant voor organisaties die géén gebruik maken van Fortinet?

De feiten

De aanval richt zich op twee kritieke kwetsbaarheden in FortiOS en FortiProxy, bekend onder de namen CVE-2024-55591 en CVE-2025-24472. Via deze lekken kunnen aanvallers zonder authenticatie toegang krijgen tot de Fortinet-apparatuur en zich vervolgens op systeemniveau nestelen. Dat gebeurt met zogenoemde super_admin-rechten, waarmee zij volledige controle verkrijgen.

Opvallend is dat de aanvallers zelf de beveiligingsupdates uitvoeren na hun inbraak. Hierdoor:

  • lijken systemen up-to-date en schoon,
  • maar zijn er in werkelijkheid backdoors en extra VPN-accounts aangemaakt,
  • waarmee de aanvaller ongemerkt toegang behoudt.

Het resultaat: een vals gevoel van veiligheid bij organisaties die hun systemen inmiddels hebben gepatcht.

Waarom deze aanval opvalt

Er zijn meerdere elementen die deze aanval bijzonder zorgwekkend maken:

  • Onzichtbare persistentie
    De aanvallers creëren blijvende toegang zonder sporen van versleuteling of sabotage. Er is dus geen "klassieke" ransomware zichtbaar, terwijl de schade op de achtergrond wordt voorbereid.
  • Herstel wordt bemoeilijkt
    Omdat de updates zijn uitgevoerd door de aanvallers zelf, wordt het lastig om achteraf vast te stellen of er daadwerkelijk misbruik is gemaakt.
  • De aanval sluit andere aanvallers buiten
    Door systemen te patchen, maken de aanvallers het lek ontoegankelijk voor derden. Ze claimen exclusieve controle, een opvallende ontwikkeling in het ransomware-landschap.

Relevantie voor andere organisaties

Hoewel deze aanval zich technisch richt op Fortinet, is het bredere verhaal duidelijk: het patchen van systemen is niet hetzelfde als het controleren van integriteit.

Deze aanval laat zien hoe geavanceerde dreigingen opereren: eerst binnendringen, dan de sporen wissen en vervolgens in alle stilte aanwezig blijven. Het doet denken aan eerdere "Advanced Persistent Threats" (APT's), maar nu toegepast op apparatuur die veelvuldig wordt ingezet door midden- en kleinbedrijven.

Wat organisaties hiervan kunnen leren

Het incident vraagt om herbezinning op de manier waarop we met updates en kwetsbaarheden omgaan:

  • Vertrouwen op software-updates is niet genoeg
    Controleer of uw systemen daadwerkelijk vrij zijn van sporen van misbruik, juist na het patchen.
  • Beoordeel wie toegang heeft en waarom
    VPN-accounts die legitiem lijken, kunnen zijn overgenomen. Logbestanden geven hierin vaak het eerste signaal.
  • Laat logging en monitoring geen papieren tijgers zijn
    Zonder actief analyseren van gedragspatronen in het netwerk, blijven deze aanvallen onder de radar.
  • Herzie incidentrespons vanuit 'stilte voor de storm'
    Geen encryptie of losgeld betekent niet dat er niets aan de hand is. Juist de stilte kan misleidend zijn.

Zijn we in control?

Deze aanval is geen geïsoleerd incident, maar een symptoom van een bredere trend: cyberaanvallen worden slimmer, geduldiger en subtieler. Organisaties die uitsluitend inzetten op updates en antivirusoplossingen, lopen het risico achter de feiten aan te blijven lopen.

De centrale vraag is niet langer: "Zijn we geüpdatet?", maar: "Zijn we nog in control?".

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina

Vorige bericht
Volgende bericht