Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Webinar: Hoe creëer je een succesvol cybersecuritybeleid voor 2023?

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en cyberincidenten. Cyberrisico’s kosten Nederlandse bedrijven en overheden namelijk miljarden per jaar. Vooral phishing, malware en ransomware vormen een groot probleem. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie. Het is daarom cruciaal voor bedrijven om voorop te blijven lopen en zichzelf te beschermen tegen mogelijke aanvallen.

Cyberveiligheid gaat verder dan technische oplossingen zoals een firewall, een antivirusprogramma en back-ups. Er is ook een beleidsmatige kant, met mensen als soms een van de zwakkere schakels. Hoe bouw je dit proces op? Hoe creëer je een cultuur van cyberveilig handelen? Welke stappen doorloop je bij een cyberaanval? En ben je veilig in 2023? Dit bepaal je allemaal in een cybersecurityplan.

Tijdens dit webinar bespreken we de volgende punten om je hiermee verder te helpen:

  • Best practices voor het identificeren van kwetsbaarheden
  • De nieuwste beveiligingsmaatregelen
  • Dreigingen van 2023
  • NIS2 wetgeving
  • Advies voor het creëren van een incident responsplan
  • Q&A

Wanneer: woensdag 1 februari 2023 van 10:00 uur tot 11:00 uur

Je kunt je kosteloos aanmelden door je direct aan te melden op onderstaande link:

Aanmelden

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: Zero Trust Network Access (ZTNA), de evolutie van VPN-toegang

 

Tegenwoordig moeten je werknemers overal en altijd veilig toegang hebben tot bedrijfsdata. Het thuis- en mobiele werken heeft voor een run gezorgd op het gebruik van VPN-diensten. Tóch kan een VPN-toegang niet zo veilig zijn als je denkt, en voorziet het niet altijd van volledig inzicht en controle. Hoe zit dit eigenlijk? En wat is hiervoor de beste oplossing?

Tijdens dit webinar zullen de cyber experts Marc Scheper (Pinewood) en Ruud Everts (Fortinet) ingaan op het concept van Zero Trust Network Access (ZTNA). Zij laten je zien hoe Fortinet ZTNA jouw organisatie kan helpen om zowel op kantoor als op mobiel veilig thuis te werken.

Topics:

  • Introductie
  • Wat is Zero Trust Network Access?
  • Hoe kunnen de functionaliteiten van ZTNA je helpen?
  • Technische demo met FortiClient en FortiGates
  • Hoe helpen wij je op weg?
  • Q&A

Wanneer: donderdag 26 januari 2023 van 10:00 uur tot 11:00 uur

Aan het einde van dit webinar weet je precies hoe je jouw organisatie kunt beschermen tegen cyberbedreigingen als malware, phishing-aanvallen en ongeoorloofde toegang tot networkresources, om uiteindelijk ervoor te zorgen dat jouw data veilig blijft. En het mooiste is nog, naast de FortiGate en FortiClient licenties die je wellicht al hebt, is er niets anders nodig dan de juiste configuratie!

Je kunt je kosteloos aanmelden door je direct aan te melden op onderstaande link:

Aanmelden

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

UPDATE: Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

For English, see below

Update 2022-12-23 (NL/EN)

Fortinet heeft een nieuwe versie van de security bulletin uitgebracht en aangegeven dat FortiProxy ook kwetsbaar is. Daarnaast zijn een aantal indicatoren (IoC’s) verwijderd.

Fortinet release a new version of the security advisory indicating that FortiProxy is also vulnerable. Additionally, several Indicators of Compromise have been removed.

Beschrijving

Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN en FortiProxy. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.

Het NCSC heeft deze kwetsbaarheid een High/High score gegeven.

Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.

Kwetsbare versies

De kwetsbaarheid is opgelost in FortiOS versies vanaf 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16. Deze zijn uitgebracht tussen 1-22 november 2022.

In FortiProxy is de kwetsbaarheid opgelost in de versies vanaf 7.2.2, 7.0.8 en (nog niet uitgebrachte) 2.0.12.

Onderstaande de kwetsbare versies

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Oplossing en workarounds

Pinewood adviseert om FortiOS en FortiProxy bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

Als eerste kan gezocht worden naar logging met de volgende gegevens:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Houd bij het zoeken rekening met verschillende VDOM’s en het tijdfilter.

Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

Dit kan gecontroleerd worden met de volgende commando’s:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.

Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.

Vragen

Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION=====

Description

A critical vulnerability has been fixed in FortiOS SSL-VPN and FortiProxy. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.

The Dutch NCSC has given this vulnerability a High/High score.

Pinewood is unaware of public attack code for this vulnerability.

Vulnerable versions

The vulnerability is fixed in the following FortiOS versions 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16 (or higher). These were released between 1-22 november.

In FortiProxy the vulnerability is fixed in versions 7.2.2, 7.0.8 and (not yet released) 2.0.12 (or higher).

The versions indicated below are vulnerable.

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Solutions and workarounds

Pinewood recommends updating FortiOS and FortiProxy to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.

Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.

Detection of possible misuse

First, search the logs of the Fortigate for the following data:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

When searching, keep in mind different VDOMs and the time filter.

In addition, check whether files with the following names have been created recently:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

This can be checked with the following commands:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.

Extra info

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.

If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.

Questions

For questions related to this vulnerability, please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

For English, see below

Update

Uit een recent onderzoek van CrowdStrike is gebleken dat de eerder aanbevolen mitigerende maatregelen omtrent twee 0-day kwetsbaarheden in Microsoft Exchange kunnen worden omzeild en dus niet langer bescherming bieden tegen het misbruik van CVE-2022-41080 en CVE-2022-41082. Tevens lijkt deze nieuwe aanvalsmethodiek momenteel actief te worden toegepast in recente Play ransomware incidenten.

Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exchange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

Kwetsbare versies

 Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

Oplossing en workarounds

Pinewood adviseert dringend om eventuele kwetsbare Microsoft Exchange Servers zo spoedig mogelijk te voorzien van de meest recente beveiligingsupdate.

Indien de Microsoft Exchange Server tot op heden kwetsbaar is en ter bescherming gebruik heeft gemaakt van de eerder aanbevolen mitigerende maatregelen is het raadzaam om het door CrowdStrike ontwikkelde PowerShell script Rps_Http-IOC.ps1 uit te voeren om eventuele indicators of compromise aan het licht te brengen.

Bronvermelding

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Update

CrowdStrike recently discovered a new exploit method to abuse the two 0-Day vulnerabilities in Microsoft Exchange, bypassing the previously recommended URL rewrite mitigations for both CVE-2022-41080 and CVE-2022-4108. The discovery was part of recent CrowdStrike Services into several Play ransomware intrusions where the common entry vector was confirmed to be Microsoft Exchange.

Description

Two actively exploited 0-Day vulnerabilities in Microsoft Exchange have been reported. A 0-Day vulnerability is a vulnerability that was previously unknown to the developers of the software in question and has no security update available.

The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability which allows an attacker to invoke unintended functionality of a vulnerable web application.

The second vulnerability identified as CVE-2022-41082 allows an attacker to perform Remote Code Execution (RCE) when PowerShell is accessible.

Do note that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities.

Vulnerable versions

The following products of Microsoft are vulnerable for the vulnerabilities in question:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Customers of Microsoft Exchange Online do not need to take any action.

Solutions and workarounds

Pinewood strongly recommends updating vulnerable Microsoft Exchange Servers with the latest security update as soon as possible.

If the Microsoft Exchange Server is currently vulnerable and has used the previously recommended mitigation measures to protect it, it is recommended that you run the PowerShell script Rps_Http-IOC.ps1 developed by CrowdStrike to reveal any possible indicators of compromise.

Extra info

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN

 For English, see below

Beschrijving

Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.

Het NCSC heeft deze kwetsbaarheid een High/High score gegeven. Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.

Kwetsbare versies

De kwetsbaarheid is opgelost de meest recente versie van de 7.2, 7.0, 6.4 en 6.2 series. Deze zijn uitgebracht tussen 1-22 november 2022.

FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14

Oplossing en workarounds

Pinewood adviseert om FortiOS bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

Als eerste kan gezocht worden naar logging met de volgende gegevens:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Houdt bij het zoeken rekening met verschillende VDOM’s en het tijdfilter. Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Dit kan gecontroleerd worden met de volgende commando’s:

diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash

Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

Pinewood Managed Security Services

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.

Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.

Vragen

Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION=====

Description

A critical vulnerability has been fixed in FortiOS SSL-VPN. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.

The Dutch NCSC has given this vulnerability a High/High score.

Pinewood is not aware of any public attack code for this vulnerability.

Vulnerable versions

The vulnerability has been fixed in the latest releases of the 7.2, 7.0, 6.4 and 6.2 series. These were released between 1-22 November 2022.

FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14

Solutions and workarounds

Pinewood recommends updating FortiOS to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.

Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.

Detection of possible misuse

First, search the logs of the Fortigate for the following data:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

When searching, keep in mind different VDOMs and the time filter.

In addition, check whether files with the following names have been created recently:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

This can be checked with the following commands:

diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash

Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.

Extra info

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

Pinewood Managed Security Services

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.

If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.

Questions

For questions related to this vulnerability, please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl