Malware steelt vpn-inloggegevens via beveiligingslek in Fortinet-client

[Captain Kirk]

Een beveiligingslek in de vpn-client van Fortinet wordt actief gebruikt voor het stelen van inloggegevens, zo stelt securitybedrijf Volexity. Een update voor de kwetsbaarheid is nog niet beschikbaar, alsmede een CVE-nummer, aldus de onderzoekers. Die ontdekten het beveiligingslek tijdens onderzoek naar de Deepdata-malware. Die blijkt op besmette systemen uit het geheugen de inloggegevens van de FortiClient voor Windows te stelen.

Volexity waarschuwde Fortinet op 18 juli en kreeg op 24 juli bevestiging van het probleem. Via het beveiligingslek in FortiClient is het mogelijk voor malware op het systeem om gebruikersnaam, wachtwoord, remote gateway en poort uit twee verschillende JSON-objecten in het geheugen uit te lezen, zo leggen de onderzoekers uit. De gestolen informatie wordt vervolgens naar de aanvallers gestuurd. Naast inloggegevens van FortiClient kan de malware ook van zeventien andere programma's informatie stelen, waaronder KeePass, OneDrive, OpenSSH, WinSCP, SecureCRT, Putty, Windows en Xftp.

 

bron: https://www.security.nl