Novo odhalená kritická zraniteľnosť v produktovej rade Fortinet FortiSwitch vyvoláva naliehavé bezpečnostné obavy. Evidovaná ako CVE-2024-48887, táto chyba umožňuje vzdialeným, neautentifikovaným útočníkom zmeniť administrátorské heslá bez akejkoľvek predchádzajúcej prístupovej autorizácie – čo predstavuje vážne riziko pre podniky, ktoré sa spoliehajú na FortiSwitch ako súčasť svojej sieťovej infraštruktúry.
Čo je CVE-2024-48887?
CVE-2024-48887 (CVSS skóre 9,8) je zraniteľnosť umožňujúca neoverenú zmenu hesla, nachádzajúca sa vo webovom rozhraní FortiSwitch. Problém vzniká v dôsledku nedostatočnej validácie vstupov na endpointe set_password, čo umožňuje útočníkom odosielať špeciálne upravené HTTP požiadavky, ktorými úplne obídu overenie identity.
Útočníci využívajúci túto chybu by mohli jednoducho získať administrátorskú kontrolu, meniť konfigurácie alebo prenikať hlbšie do interných sietí.
Ktoré verzie FortiSwitch sú postihnuté?
Podľa oficiálneho oznámenia spoločnosti Fortinet sú zraniteľné nasledujúce verzie FortiSwitch:
- 7.6.0 (odporúča sa aktualizovať na 7.6.1 alebo novšiu)
- 7.4.0 až 7.4.4 (aktualizovať na 7.4.5+)
- 7.2.0 až 7.2.8 (aktualizovať na 7.2.9+)
- 7.0.0 až 7.0.10 (aktualizovať na 7.0.11+)
- 6.4.0 až 6.4.14 (aktualizovať na 6.4.15+)
Vyhľadávanie cez FOFA odhalilo viac ako 2 000 prípadov FortiSwitch zariadení vystavených internetu, pričom väčšina sa nachádza v Spojených štátoch. Táto úroveň vystavenia ešte viac zdôrazňuje nutnosť čo najskôr opraviť CVE-2024-48887, najmä pre organizácie s verejne prístupnými rozhraniami FortiSwitch.
Technické detaily: Ako exploit funguje
Zraniteľnosť vychádza z nesprávnej validácie vstupov vo webovom rozhraní FortiSwitch. Vzdialený útočník môže zneužiť chybu tak, že vytvorí HTTP požiadavky, ktoré vkladajú príkazy alebo spustia neoverený reset hesla. Útočník nepotrebuje žiadnu predchádzajúcu autentifikáciu, čo robí túto zraniteľnosť obzvlášť nebezpečnou v exponovaných alebo zle segmentovaných sieťach.
Po získaní prístupu môžu útočníci:
- Meniť administrátorské heslá
- Vykonávať neoprávnené zmeny v konfigurácii
- Bočne sa pohybovať v rámci interných sietí
Hoci zatiaľ neexistujú dôkazy o aktívnom zneužívaní, podobné zraniteľnosti Fortinetu boli v minulosti rýchlo začlenené do arzenálu kybernetických útočníkov. Povaha tejto chyby – neautentifikovaný prístup s administrátorským dopadom – ju radí medzi vysoko prioritné riziká.
Organizácie, ktoré meškajú s aplikovaním opráv, by sa mohli nevedomky vystaviť riziku únikov dát, kompromitácie siete alebo dokonca ransomvérovým útokom.
Ďalšie zverejnené zraniteľnosti Fortinetu
Popri CVE-2024-48887 spoločnosť Fortinet zverejnila dve ďalšie bezpečnostné oznámenia týkajúce sa vážnych zraniteľností:
- CVE-2024-54024 (CVSS 7.2) – zraniteľnosť OS command injection vo funkcii diagnostiky GUI FortiIsolatoru, ktorá by mohla umožniť super-admin používateľom spúšťať neoprávnený kód.
- CVE-2024-26013 (CVSS 7.5) a CVE-2024-50565 (CVSS 3.1) – problém s overovaním certifikátov, ktorý ovplyvňuje FGFM spojenia vo FortiOS, FortiProxy a ďalších produktoch, čím by mohlo dôjsť k útokom typu “Man-in-the-Middle” (MiTM).
Tieto oznámenia ešte viac zdôrazňujú potrebu rýchleho aplikovania záplat a zavedenia silných autentifikačných postupov v prostredí Fortinet.
Ďalšie informácie je možné nájsť na stránkach:
https://socradar.io/fortinet-cve-2024-48887-fortiswitch-admin-credentials