Menu dostępności

Nowy zero-day w Fortinet

Nowy zero-day w Fortinet wykorzystywany w atakach!

14 stycznia Fortinet opublikował kilkanaście nowych ostrzeżeń. Opisują one krytyczne i poważne luki w zabezpieczeniach odkryte niedawno w produktach firmy. Jedna ze zgłoszonych podatności to zero-day, wykorzystywany w atakach co najmniej od listopada 2024 r.

Podatność typu zero-day jest śledzona pod numerem CVE-2024-55591 i została opisana przez Fortinet jako krytyczna luka w zabezpieczeniach wpływająca na systemy FortiOS i FortiProxy, którą zdalny atakujący może wykorzystać do uzyskania uprawnień super-administratora za pomocą specjalnie spreparowanych żądań do modułu Node.js websocket.

Według Fortinet CVE-2024-55591 dotyczy systemów FortiOS od wersji 7.0.0 do 7.0.16, FortiProxy od wersji 7.2.0 do 7.2.12 i FortiProxy od wersji 7.0.0 do 7.0.19. Poprawki są udostępniane w FortiOS 7.0.17, FortiProxy 7.2.13 i FortiProxy 7.0.20. Jeżeli nie załataliście się do tej pory, to zalecamy nie zwlekać, zwłaszcza że Fortinet potwierdził eksploatację w praktyce, a opublikowane ostrzeżenie zawiera wskaźniki zagrożenia (IoC), które pomagają obrońcom wykrywać ataki.

Odkrycie, że zero-day jest wykorzystywany, zawdzięczamy firmie Arctic Wolf, która wydała ostrzeżenie mówiące o zaobserwowaniu kampanii skierowanej przeciwko zaporom Fortinet FortiGate, których interfejs zarządzania został ujawniony w Internecie. Wiadomości o potencjalnym ataku typu zero-day pojawiły się w zeszłym tygodniu:

„Kampania obejmowała nieautoryzowane logowania administracyjne na interfejsach zarządzania zapór, tworzenie nowych kont, uwierzytelnianie SSL VPN za pośrednictwem tych kont i różne inne zmiany konfiguracji” – podało Arctic Wolf. „Chociaż początkowy wektor dostępu nie został ostatecznie potwierdzony, wysoce prawdopodobna jest luka typu zero-day”.

W ostrzeżeniu Fortinet nie wspomniano o Arctic Wolf, niemniej wskaźniki bezpieczeństwa udostępniane przez obie firmy wskazują, że CVE-2024-55591 to właśnie zero-day zaobserwowany przez Arctic Wolf w atakach. Arctic Wolf twierdzi, że powiadomił Fortinet o atakach w połowie grudnia, producent natomiast podaje, że wie o aktywności i bada ją.

Arctic Wolf śledziło kampanię w listopadzie i grudniu, najpierw obserwując skanowanie luk, a następnie rozpoznanie, ustanawianie dostępu SSL VPN i ruch boczny w naruszonych systemach. Dla badaczy cele atakujących pozostają nieznane.

Inną krytyczną luką, którą Fortinet zajął się w najnowszym wydaniu, jest CVE-2023-37936, zakodowany na stałe problem z kluczem kryptograficznym w FortiSwitch, który może umożliwić zdalnemu nieuwierzytelnionemu atakującemu wykonanie kodu przy użyciu złośliwych żądań kryptograficznych.

Trzynaście innych ostrzeżeń opublikowanych 14 stycznia dotyczy luk o wysokim stopniu zagrożenia, które wpływają na produkty takie jak FortiManager, FortiAnalyzer, FortiClient, FortiOS, FortiRecorder, FortiProxy, FortiSASE, FortiVoice, FortiWeb i FortiSwitch.

Podatności mogą być wykorzystywane do utrzymywania konta po usunięciu, dowolnego zapisu pliku, uwierzytelnionego kodu i wykonywania poleceń, ataków siłowych, wyodrębniania danych konfiguracyjnych bez uwierzytelniania i DoS-u.

Fortinet nie oznaczył żadnej z luk jako wykorzystywanej, ale wskazał, że jedna z nich została ujawniona przez WatchTowr.

Nie jest niczym niezwykłym, że hakerzy celują w luki produktów Fortinet, dlatego ważne, by organizacje nie zaniedbały łatania oraz łagodzenia skutków opublikowanych w najnowszej rundzie podatności w zabezpieczeniach. O Fortinecie pisaliśmy również tutaj.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...