Het Californische bedrijf Fortinet heeft meer dan 50.000 klanten gewaarschuwd dat ze onveilige VPN-software gebruiken. Daardoor lopen zij het risico om aangevallen te worden.
Op 24 mei vorig jaar publiceerde Fortinet een beveiligingsupdate voor een kwetsbaarheid in het FortiOS SSL VPN webportal. De 50.000 klanten die het bedrijf heeft gewaarschuwd, verzuimen al anderhalf jaar om updates voor hun VPN-systeem te installeren.
De kwetsbaarheid, met de naam CVE-2018-13379, is op een schaal van 1 tot en met 10 beoordeeld met een 9,8 wat de impact betreft. Een ongeauthenticeerde aanvaller is in staat om met path traversal FortiOS-systeembestanden te downloaden. Op deze manier kan hij de inloggegevens van ingelogde VPN-gebruikers in handen krijgen. Exploits die misbruik van het beveiligingslek maken, zijn al meer dan een jaar beschikbaar.
“Na achttien maanden, meer dan zeven verschillende Fortinet-notificaties en nieuwsdiensten en overheidsinstellingen die voor het risico waarschuwen, zijn er nog steeds veel ongepatchte apparaten”, aldus Fortinet. Recentelijk werd bekend dat er op internet lijsten met de IP-adressen van deze apparaten te koop worden aangeboden.
In reactie hierop komt Fortinet voortaan elke eerste dinsdag van de maand met een patch-dinsdag. In het geval van zeer ernstige of aangevallen kwetsbaarheden zal het bedrijf frequenter patches aanbieden. Tevens zal Fortinet ernstige kwetsbaarheden duidelijk in de grafische gebruikersinterface vermelden. Voor bepaalde firmware gaat het bedrijf “long-time support” bieden.
