Fortinet opravil zraniteľnosť pri obchádzaní autentifikácie vo FortiOS a FortiProxy, ktorú útočníci používali na napadnutie firewallov Fortinet a narušenie sietí. Táto zraniteľnosť súvisí so správou, ktorú 10. januára zverejnila kybernetická bezpečnostná spoločnosť Arctic Wolf, v ktorej sa uvádza, že firewally Fortinet FortiGate s rozhraniami správy vystavenými internetu sú od polovice novembra napadnuté.
Odporúčanie spoločnosti Fortinet popisuje zraniteľnosť sledovanú ako CVE-2024-55591 ako „vynechanie overenia pomocou alternatívnej cesty alebo kanála“. Ovplyvňuje FortiOS a FortiProxy a získalo kritické skóre CVSS 9,6. Vzdialený útočník by mohol túto chybu zabezpečenia využiť na získanie privilégií správcu odoslaním vytvorených požiadaviek do modulu websocket Node.js.
Podľa Fortinetu útočníci využívajú tento zero-day na vytvorenie správcov alebo lokálnych používateľov na napadnutých zariadeniach a ich pridanie do existujúcich skupín používateľov SSL VPN alebo do nových, ktoré tiež pridávajú. Útočníci môžu tiež pridať alebo zmeniť zásady brány firewall alebo použiť vyššie uvedených miestnych používateľov, ktorých pridali na prihlásenie do SSL VPN, aby získali tunel do internej siete.
Ovplyvnené verzie:
FortiOS verzie 7.0.0 až 7.0.16
FortiProxy verzie 7.0.0 až 7.0.19 a 7.2.0 až 7.2.12
Odporúčania:
Inovujte na novú verziu: FortiOS 7.0.17 alebo novší, FortiProxy 7.2.13 alebo novší alebo 7.0.20 alebo novší
Ak nie sú možné okamžité aktualizácie, implementujte riešenia, ako je odstránenie webového rozhrania na správu brány firewall z verejného internetu
Ďalšie informácie je možné nájsť na stránkach:
https://www.upwind.io/feed/new-cve-2024-5591-zero-day-exploitation-of-fortinet-firewalls