Dobre wieści na temat poważnej podatności w Fortinet

Mniej więcej miesiąc temu opisywaliśmy krytyczną lukę załataną przez Fortinet. Dotyczyła ona zabezpieczeń FortiOS. Dobra nowina jest taka, że mimo ostrzeżeń o potencjalnym wykorzystaniu luki nadal nie widać żadnych oznak ataków na dużą skalę.

Autor: Kapitan Hack Data dodania: 14 mar 2024 08:52 3 min czytania

Luka, oznaczona jako CVE-2024-21762, została opisana jako problem z zapisem poza granicami w systemach FortiOS i FortiProxy, który może pozwolić zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań HTTP.

Kiedy 9 lutego Fortinet ujawnił lukę typu zero-day (my pisaliśmy o tym już 13 lutego), stwierdził, że „potencjalnie jest ona wykorzystywana w środowisku naturalnym”. Kilka dni później CISA dodała CVE-2024-21762 do swojego katalogu znanych luk w zabezpieczeniach.

Nie wydaje się, aby były dostępne żadne szczegóły na temat ataków wykorzystujących CVE-2024-21762 i obecnie nie ma na nie dowodów.

Luki w zabezpieczeniach Fortinet są początkowo często wykorzystywane w wysoce ukierunkowanych atakach przeprowadzanych przez wyrafinowane ugrupowania cyberprzestępcze, ale masowe wykorzystanie nie jest rzadkością, szczególnie po wydaniu łatki i upublicznieniu informacji.

W tym przypadku od pierwszego ujawnienia minął już ponad miesiąc i nadal nie ma doniesień o masowych atakach. Firma GreyNoise zajmująca się analizą zagrożeń, która przeprowadziła analizę techniczną luki, śledzi próby wykorzystania CVE-2024-21762, ale jej Honeypoty nie odnotowały jeszcze żadnych ataków.

Fortinet również nie potwierdził wykorzystania – w komunikacji dotyczącej tej podatności firma stosuje neutralne określenie, że jest ona „potencjalnie wykorzystywana”.

I słowo „potencjalnie” jest tutaj kluczowe, ponieważ obszar potencjalnego ataku jest spory. Organizacja non-profit zajmująca się cyberbezpieczeństwem Shadowserver odnotowuje prawie 150 000 wystąpień produktów Fortinet, na które może mieć wpływ CVE-2024-21762, ale nie wspomina nic o bieżących próbach ataków.

Najwyższy odsetek podatnych na ataki systemów wykrytych przez Shadowserver występuje w Stanach Zjednoczonych, a następnie w Indiach. Tysiące przypadków zaobserwowano w Europie, Chinach, Kanadzie, Meksyku i Brazylii.

Bishop Fox, firma działająca od prawie dwóch dekad, w ciągu ostatnich pięciu lat opublikowała ponad 16 narzędzi typu open source i 50 poradników dotyczących bezpieczeństwa. Udostępniła właśnie kolejne narzędzie typu open source, za pomocą którego organizacje mogą określić, czy luka dotyczy ich urządzenia.

Więcej o Fortinecie znajdziesz w naszym archiwum – tutaj.