Aktívan kihasznált kritikus Fortinet sérülékenység
Rosszindulatú kiberszereplők a FortiOS és a FortiProxy új, zero-day hitelesítési megkerülési sérülékenységét kihasználva eltérítik a Fortinet tűzfalakat és behatolnak a vállalati hálózatokba. Ez a biztonsági hiba (CVE-2024-55591) a FortiOS 7.0.0-tól 7.0.16-ig, a FortiProxy 7.0.0-tól 7.0.19-ig és a FortiProxy 7.2.0-tól 7.2.12-ig terjedő verzióját érinti. A sérülékenység sikeres kihasználása lehetővé teszi a távoli támadók számára, hogy a Node.js websocket modulhoz intézett rosszindulatú kérésekkel super-admin jogosultságokat szerezzenek.
A Fortinet szerint a zero-day hibát aktívan kihasználó támadók véletlenszerűen generált admin vagy helyi felhasználókat hoznak létre a kompromittált eszközökön, és hozzáadják őket a meglévő SSL VPN felhasználói csoportokhoz vagy az általuk létrehozott új csoportokhoz. A támadók emellett tűzfalszabályokat és egyéb beállításokat adnak hozzá a rendszerekhez, valamint bejelentkeznek az SSL VPN-be korábban létrehozott hamis fiókok használatával, hogy alagutat hozzanak létre a belső hálózatba. Az Arctic Wolf kiberbiztonsági vállalat 2025. január 10-én kiadott egy jelentést az IOC-kal, amely szerint a Fortinet FortiGate tűzfalakat az internetre kitett menedzsment felületeken keresztül 2024. november közepe óta támadják. „Bár a kezdeti hozzáférési vektor nincs megerősítve, nagy valószínűséggel egy zero-day sérülékenységről van szó. A szervezeteknek sürgősen le kell tiltaniuk a tűzfal menedzsment hozzáférését a nyilvános interfészeken, amilyen hamar csak lehet” – áll az Arctic Wolf jelentésében.
A Fortinet a kiadott figyelmeztetésében azt tanácsolta az adminisztrátoroknak, hogy tiltsák le a HTTP/HTTPS adminisztrációs felületet, vagy a local-in házirendeken keresztül korlátozzák, hogy milyen IP-címek érhetik el az adminisztrációs felületet.
