Udnytter kritiske Fortinet-sårbarheder i nye angreb

Eskil Sørensen

06.10.2025 13:21

Ransomware-gruppe udnytter Fortinet-sårbarheder til at infiltrere netværk

Ransomwaregruppe Qilin har taget nye metoder i brug ved at udnytte kritiske sårbarheder i Fortinet-enheder til at omgå autentifikation og eksekvere skadelig kode på sårbare systemer. Ifølge en rapport fra PRODAFT er disse angreb delvist automatiserede og har primært ramt organisationer i spansktalende lande, men der er en forventning om, at kampagnen vil sprede sig globalt.

Det skriver Bleeping Computer.

Qilin, også kendt som Phantom Mantis, opererer som en Ransomware-as-a-Service (RaaS)-platform og har siden sin fremkomst i august 2022 stået bag over 3o0 angreb, herunder mod store virksomheder som Yangfeng, Lee Enterprises og Australiens Court Services Victoria. Gruppen har også ramt Synnovis, en britisk sundhedsudbyder, hvilket førte til aflysninger af hundredvis af hospitalsaftaler i London.

Exploit af Fortinet-sårbarheder

Qilin-gruppen har brugt flere Fortinet-sårbarheder, herunder CVE-2024-21762 og CVE-2024-55591, som angrebspunkt. Begge sårbarheder gør det muligt for angribere at få uautoriseret adgang til FortiGate-firewalls og eksekvere skadelig kode.

CVE-2024-55591 blev tidligere udnyttet som en 0-dagssårbarhed af andre trusselsaktører til at kompromittere FortiGate-firewalls tilbage i november 2024. Den russiske ransomwaregruppe Mora_001 har også brugt denne sårbarhed til at distribuere SuperBlack-ransomware, som er forbundet med LockBit-cyberkriminalitetsnetværket.
CVE-2024-21762 blev patchet i februar 2025, men næsten 150.000 enheder var ifølge Shadowserver Foundation stadig sårbare en måned senere.

Disse sårbarheder anses for at være særligt farlige, da Fortinet-enheder ofte bruges til at beskytte virksomheders netværk. Når de kompromitteres, kan angribere få adgang til interne systemer og udbrede ransomware uden at skulle bruge traditionelle phishing-metoder.

Automatiserede angreb med opportunistisk valg af mål

PRODAFTs analyse viser, at Qilin-gruppen ikke følger en fast geografisk eller sektorspecifik strategi, men snarere vælger sine ofre opportunistisk, skriver Bleeping Computer. Selvom der er en tydelig koncentration af angreb i spansktalende lande, er det sandsynligt, at kampagnen vil udvide sig til andre regioner, fremgår det.

Angrebene er delvist automatiserede, hvilket betyder, at kun udvælgelsen af ofre sker manuelt, mens selve kompromitteringen af systemer sker via automatiserede scripts. Dette gør det muligt for trusselsaktører at skalere deres operationer hurtigt og effektivt.

Fortinet-produkter har tidligere været mål for cyberangreb, ofte som 0-dagsudnyttelser i cyberspionage-kampagner. I februar 2025 afslørede Fortinet, at den kinesiske Volt Typhoon-hackergruppe havde udnyttet FortiOS SSL VPN-sårbarheder (CVE-2022-42475 og CVE-2023-27997) til at installere Coathanger RAT-malware, som tidligere var blevet brugt til at infiltrere det hollandske forsvarsministerium.

Læs mere

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/

Sårbarhed