Din firewall har en sårbarhed fra 2020. Hackere udnytter den aktivt lige nu.
Over 10.000 virksomheder har stadig ikke patchet.
Fem et halvt år gammel advarsel
I december 2025 sendte Fortinet endnu en advarsel til sine kunder.
Samme sårbarhed. Samme besked som i 2020.
Opdatér. NU!
Alligevel viser en scanning fra sikkerhedsorganisationen Shadowserver, at mere end 10.000 Fortinet-firewalls verden over stadig er eksponerede.
I marts 2024 identificerede Version2 omkring 350 sårbare danske enheder for en lignende Fortinet-fejl.
Hvad sårbarheden gør
Sårbarheden hedder CVE-2020-12812 og rammer FortiOS SSL VPN. Den lader angribere omgå to-faktor-login under bestemte konfigurationer.
Med andre ord: Den ekstra sikkerhed, du har investeret i, virker ikke.
Du har betalt for MFA. Du har rullet det ud. Dine medarbejdere bruger det. Men hvis din firewall ikke er patchet, kan angribere gå uden om det hele.
FBI og det amerikanske cybersikkerhedsagentur CISA advarede allerede i 2021. Iranske hackergrupper har brugt sårbarheden. Ransomware-gruppen Play bruger den som indgangsvej.
Fem et halvt år. Så længe har patchen eksisteret. Så længe har angriberne vidst, hvordan de kommer ind.
Vi ved, hvad vi skal gøre. Vi gør det bare ikke.
Ifølge IT-Branchen undlader 15% af danske SMV’er stadig helt basale sikkerhedstiltag som systemopdateringer. 40% har et sikkerhedsniveau, der ikke matcher deres risikoprofil.
Problemet er ikke, at vi ikke ved, hvad vi skal gøre. Problemet er, at vi ikke gør det.
Patching er ikke glamourøst. Det giver ikke synlige resultater. Det er nemt at udskyde til “næste måned” eller “når vi har tid”.
Og så går der fem år.
Hvad det koster, når det går galt
Forretningskonsekvensen er konkret.
Et vellykket ransomware-angreb koster en dansk SMV i gennemsnit 140.000 kr. om dagen i tabt produktivitet og genopretning. I 60% af tilfældene mister virksomheden helt eller delvist adgang til sine systemer.
Og indgangen kan være en firewall, der ikke er blevet opdateret.
Det er ikke et sofistikeret angreb. Det er ikke en zero-day, ingen kendte til. Det er en kendt sårbarhed med en kendt løsning, som bare ikke blev implementeret.
NIS2 skærper kravene
Med NIS2 skærpes kravene yderligere. Virksomheder i de omfattede sektorer skal kunne dokumentere, at de håndterer kendte sårbarheder rettidigt.
En fem år gammel, upatchet sårbarhed er svær at forklare til en tilsynsmyndighed.
Og selv hvis du ikke er direkte omfattet: Er dine største kunder NIS2-relevante, vil deres leverandørkrav ramme dig inden længe. De vil stille krav til deres leverandørers sikkerhed. Og en firewall med en fem år gammel sårbarhed er ikke et godt udgangspunkt for den samtale.
Tre ting din IT-ansvarlige bør gøre i denne uge
Tjek din FortiOS-version. Hvis du kører ældre end 6.4.1, 6.2.4 eller 6.0.10, er du potentielt sårbar. Bed din IT-leverandør bekræfte skriftligt, hvilken version I kører, og hvornår den sidst blev opdateret. Ikke mundtligt. Skriftligt.
Afklar ansvaret for patch management. Ikke hvem der “burde” have det. Hvem der faktisk tjekker, at kritiske opdateringer bliver installeret. Er det jeres interne IT? Jeres leverandør? Ingen? Få det i din leverandøraftale med konkrete SLA’er for patching af kritiske sårbarheder.
Få overblik over internet-eksponerede systemer. Hvis din firewall-administration er tilgængelig fra internettet, er det første sted en angriber kigger. En teknisk sikkerhedsgennemgang kan identificere, hvilke af jeres systemer der er synlige udefra, og om de er ordentligt beskyttet.
Truslen er meget høj
SAMSIK (Styrelsen for Samfundssikkerhed) vurderer truslen fra cyberkriminalitet som MEGET HØJ. Det er det højeste niveau. Det betyder, at det er meget sandsynligt, at både myndigheder og virksomheder vil blive angrebet eller ramt inden for de næste to år.
Ransomware-grupper scanner ikke kun efter de nyeste, mest avancerede sårbarheder. De scanner også efter de ældste, mest glemte.
De ved, at mange virksomheder ikke patcher. De ved, at en sårbarhed fra 2020 stadig virker mod tusindvis af mål. Og de ved, at det er meget nemmere end at finde en ny zero-day.
Hvornår fik du sidst dokumentation?
Hvornår fik du sidst dokumentation for, at din firewall er opdateret?
Ikke et “ja, det tror jeg” fra IT-leverandøren. Faktisk dokumentation. Versionsnummer. Patch-dato. Skriftligt.
Og hvornår fik I sidst foretaget en IT-sikkerhedsaudit af en ekstern, der tør sige tingene, som de er?
En der ikke har sat systemet op. En der ikke har en interesse i at sige, at alt er fint. En der leder efter de huller, I måske ikke ved eksisterer.
Fem et halvt år er lang tid at vente med en patch. Hvor lang tid har I ventet?
Har du brug for en uvildig vurdering af jeres firewall og IT-sikkerhed? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
