Nieuwe malware benadrukt aanhoudende interesse in edge devices
Tijdens een incident response onderzoek, door de Militaire Inlichtingen en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), is er op een aantal FortiGate-apparaten nieuwe malware aangetroffen. Dit benadrukt een trend waar interesse wordt getoond in publiek benaderbare edge devices. In de publicatie bieden de MIVD en AIVD inzicht in deze malware. Tevens bieden wij in dit bericht handelingsperspectief om de risico’s van deze malware te beperken.
Achtergrond
De MIVD en AIVD troffen tijdens een incident response onderzoek een nieuwe Remote Access Trojan (RAT) malware aan. Deze RAT is een gerichte persistente malware die buiten het zicht van traditionele detectiemaatregelen opereert en specifiek voor FortiGate-apparaten is ontwikkeld. Een ander kenmerk is dat deze malware niet gericht is op het toegang verkrijgen tot systemen maar om toegang te behouden. De aanvankelijke toegang was te verkrijgen door de kwetsbaarheid in FortiGate met het kenmerk CVE-2022-42475 te misbruiken. Het NCSC heeft deze kwetsbaarheid in december 2022 ingeschaald als hoge kans en hoge impact.
Duiding
De MIVD en AIVD stellen dat deze aanval past binnen een bredere trend. Zowel het NCSC als partnerorganisaties zien een trend in het misbruik van kwetsbaarheden in publiek benaderbare edge devices zoals firewalls, VPN-servers, en e-mailservers. Edge devices vormen een interessant doelwit omdat deze componenten zich aan de rand van het netwerk bevinden en geregeld een directe verbinding hebben met het internet. Edge devices worden vaak niet ondersteund door Endpoint Detection and Response (EDR) oplossingen. Dit maakt dat malafide of afwijkend gedrag moeilijk te detecteren is. In eerdere publicaties over verhoogde scanactiviteiten, Fortigate VPN, Pulse Secure en recentelijk Ivanti Connect Secure, wordt hier dieper op ingegaan.
Handelingsperspectief
De publicatie van de MIVD en AIVD biedt een analyse over de werking van deze malware en beschrijft diverse beveiligingsmaatregelen. Daarnaast raadt het NCSC aan om de onderstaande maatregelen toe te passen om risico’s van edge devices te beheersen.
- Voer regelmatig een risicoanalyse uit op edge devices. Bijvoorbeeld wanneer er functionaliteiten worden toegevoegd.
- Beperk toegang tot het internet van edge devices door ongebruikte poorten en functionaliteiten uit te schakelen. Maak daarnaast de management-interface niet toegankelijk vanaf het internet.
- Voer regelmatig analyses uit op de logging om afwijkende activiteit te detecteren. Denk hierbij aan inlog-pogingen op rare tijdstippen, onbekende (buitenlandse) IP-adressen of ongeautoriseerde configuratiewijzigingen. Stuur de logging door naar een beveiligde, separate omgeving zodat de integriteit ervan gewaarborgd is.
- Installeer de meest recente beveiligingsupdates zo snel mogelijk wanneer deze beschikbaar worden gesteld door de leverancier. Maak daarnaast gebruik van mogelijke extra beschermingsmaatregelen die door leveranciers beschikbaar worden gesteld.
- Vervang hard- en software die niet meer ondersteund wordt door de leverancier.