Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Fortinet med Zero Day i FortiClient krever tiltak. Begrens på land.

Suksessfull phishing skjer hele tiden, og spørsmålet er hva som er teknikken etter å ha lurt offeret.

«Begrens VPN tilgang på land som tillates»

Denne gangen handler det om å få fotfeste på Windows maskinen, og deretter hente ut informasjon fra forskjellige sårbare produkter som WhatsApp, Telegram, Signal og flere, OG FortiClient. Hensikten er å hente ut data fra disse applikasjonen, typisk brukernavn, passord og gateway info.

Fortinet skal visstnok være informert om denne sårbarheten i juli, men sårbarheten er tydeligvis fortsatt tilstede. Det er derfor veldig viktig å adressere dette. Samtidig så er ikke anbefalingene i denne posten annerledes enn det de har vært lenge, men tiltakene mangler allikevel hos flere. Ting gjør seg ikke selv.

https://thehackernews.com/2024/11/warning-deepdata-malware-exploiting.html

«This plugin was found to exploit a zero-day vulnerability in the Fortinet VPN client on Windows that allows it to extract the credentials for the user from memory of the client’s process,»

«Volexity said it reported the flaw to Fortinet on July 18, 2024, but noted that the vulnerability remains unpatched

https://www.volexity.com/blog/2024/11/15/brazenbamboo-weaponizes-forticlient-vulnerability-to-steal-vpn-credentials-via-deepdata/

Volexity

«On July 18, 2024, Volexity notified Fortinet about this vulnerability.»

Anbefaling

Det er alltid viktig å anta at mennesker klikker på linker, inkludert phishing linker. Innfør gode tiltak.

  • Sikre at lagvis sikkerhet alltid er så bra som mulig ved å alltid sende klientkommjnikasjon igjennom sikkerhetsgateway, typisk brannmuren, med Always-On VPN teknologi, for å være mer motstandsdyktig mot suksess.
    • Sikre at DNS og URL sikkerheten er satt opp etter beste praksis, og at nye domener sperres.
    • Aktiver dekryptering for best mulig visibilitet, kontroll og sikkerhet.
  • Sikre at endepunktsikkerheten er så god som mulig opp mot Mitre.
  • Sikre at MFA er aktivert for ALLE brukere med VPN tilgang. Ikke vær fornøyd med at alle ansatte har det. Sjekk alle kontoer som har VPN tilgang.
  • Og… den viktige proaktive og signaturløse sikkerheten. Least Privilege. NÅR brukernavn og passord er på avveie vil noen prøve å logge på. Men fra hvor? Legg inn begrensning på hvilke land som får lov til å logge på VPN. For veldig mange holder det med Norge, mens noen må tillate Sverige, Danmark og Finland i tillegg. Om det så er 20 land, er dette mye bedre enn å tillate hele verden. Ingenting er 100% sikkert, men det vil redusere angrepsflaten og dermed risikoen.

Skulle de klare å komme seg inn snakker vi om enda flere tiltak som ikke blir med i denne posten.

, , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading