Nowy zero-day w Fortinet wykorzystywany w atakach!

Podatność typu zero-day jest śledzona pod numerem CVE-2024-55591 i została opisana przez Fortinet jako krytyczna luka w zabezpieczeniach wpływająca na systemy FortiOS i FortiProxy, którą zdalny atakujący może wykorzystać do uzyskania uprawnień super-administratora za pomocą specjalnie spreparowanych żądań do modułu Node.js websocket.

Według Fortinet CVE-2024-55591 dotyczy systemów FortiOS od wersji 7.0.0 do 7.0.16, FortiProxy od wersji 7.2.0 do 7.2.12 i FortiProxy od wersji 7.0.0 do 7.0.19. Poprawki są udostępniane w FortiOS 7.0.17, FortiProxy 7.2.13 i FortiProxy 7.0.20. Jeżeli nie załataliście się do tej pory, to zalecamy nie zwlekać, zwłaszcza że Fortinet potwierdził eksploatację w praktyce, a opublikowane ostrzeżenie zawiera wskaźniki zagrożenia (IoC), które pomagają obrońcom wykrywać ataki.

Odkrycie, że zero-day jest wykorzystywany, zawdzięczamy firmie Arctic Wolf, która wydała ostrzeżenie mówiące o zaobserwowaniu kampanii skierowanej przeciwko zaporom Fortinet FortiGate, których interfejs zarządzania został ujawniony w Internecie. Wiadomości o potencjalnym ataku typu zero-day pojawiły się w zeszłym tygodniu:

„Kampania obejmowała nieautoryzowane logowania administracyjne na interfejsach zarządzania zapór, tworzenie nowych kont, uwierzytelnianie SSL VPN za pośrednictwem tych kont i różne inne zmiany konfiguracji” – podało Arctic Wolf. „Chociaż początkowy wektor dostępu nie został ostatecznie potwierdzony, wysoce prawdopodobna jest luka typu zero-day”.

W ostrzeżeniu Fortinet nie wspomniano o Arctic Wolf, niemniej wskaźniki bezpieczeństwa udostępniane przez obie firmy wskazują, że CVE-2024-55591 to właśnie zero-day zaobserwowany przez Arctic Wolf w atakach. Arctic Wolf twierdzi, że powiadomił Fortinet o atakach w połowie grudnia, producent natomiast podaje, że wie o aktywności i bada ją.

Arctic Wolf śledziło kampanię w listopadzie i grudniu, najpierw obserwując skanowanie luk, a następnie rozpoznanie, ustanawianie dostępu SSL VPN i ruch boczny w naruszonych systemach. Dla badaczy cele atakujących pozostają nieznane.

Inną krytyczną luką, którą Fortinet zajął się w najnowszym wydaniu, jest CVE-2023-37936, zakodowany na stałe problem z kluczem kryptograficznym w FortiSwitch, który może umożliwić zdalnemu nieuwierzytelnionemu atakującemu wykonanie kodu przy użyciu złośliwych żądań kryptograficznych.

Trzynaście innych ostrzeżeń opublikowanych 14 stycznia dotyczy luk o wysokim stopniu zagrożenia, które wpływają na produkty takie jak FortiManager, FortiAnalyzer, FortiClient, FortiOS, FortiRecorder, FortiProxy, FortiSASE, FortiVoice, FortiWeb i FortiSwitch.

Podatności mogą być wykorzystywane do utrzymywania konta po usunięciu, dowolnego zapisu pliku, uwierzytelnionego kodu i wykonywania poleceń, ataków siłowych, wyodrębniania danych konfiguracyjnych bez uwierzytelniania i DoS-u.

Fortinet nie oznaczył żadnej z luk jako wykorzystywanej, ale wskazał, że jedna z nich została ujawniona przez WatchTowr.

Nie jest niczym niezwykłym, że hakerzy celują w luki produktów Fortinet, dlatego ważne, by organizacje nie zaniedbały łatania oraz łagodzenia skutków opublikowanych w najnowszej rundzie podatności w zabezpieczeniach. O Fortinecie pisaliśmy również tutaj.