Firma Fortinet potwierdziła krytyczne zagrożenie w urządzeniach FortiGate i FortiProxy, wykorzystywane przez atakujących do przejęcia uprawnień superadministratora i dalszego naruszania bezpieczeństwa sieci. Problem dotyczy głównie firewalli z odsłoniętymi w Internecie interfejsami zarządzania.
Kluczowe szczegóły
Typ podatności: Authentication Bypass (CWE-288) pozwalający atakującemu na całkowite ominięcie uwierzytelniania.
Dotknięte wersje FortiOS:
- 7.0.0 – 7.0.16 (wymagana aktualizacja do 7.0.17 lub wyższej).
Dotknięte wersje FortiProxy:
- 7.0.0 – 7.0.19 (wymagana aktualizacja do 7.0.20 lub wyższej),
- 7.2.0 – 7.2.12 (wymagana aktualizacja do 7.2.13 lub wyższej).
Atakujący wykorzystują lukę do tworzenia nowych kont superadmin, konfigurowania dostępu SSL VPN oraz dokonywania zmian w politykach bezpieczeństwa.
Najpoważniejsze zagrożenia
1. Zdalne przejęcie dostępu administracyjnego – nieautoryzowane logowanie przez interfejs zarządzania.
2. Kradzież danych uwierzytelniających – np. metodą DCSync w celu dalszego rozprzestrzenienia się w sieci.
3. Manipulacje konfiguracjami – zmiana ustawień firewalli, tworzenie nowych reguł i kont, ukrywanie logów.
4. Utrzymanie kontroli w systemie – instalowanie złośliwego oprogramowania lub backdoorów.
Zalecane działania
Natychmiastowa aktualizacja FortiOS (do min. 7.0.17) oraz FortiProxy (do min. 7.0.20 lub 7.2.13).
Ograniczenie dostępu do interfejsu zarządzania wyłącznie z zaufanych adresów IP.
Monitorowanie logów (szczególnie w obszarze panelu administracyjnego) i ruchu sieciowego w poszukiwaniu nieautoryzowanych zmian.
Czy jesteś pewny, że Twoja organizacja jest chroniona przed aktywną eksploatacją CVE-2024-55591? Sprawdź to na podstawie powyższych informacji.
Najnowsze informacje znajdziesz też na naszej stronie na portalu Linkedin.