Aktívne zneužívaná kritická zraniteľnosť vo firewalloch FortiGate od spoločnosti Fortinet

January 17, 2025

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zero-day zraniteľnosť v operačnom systéme FortiOS a produkte FortiProxy. CVE-2024-55591 možno zaslaním špeciálne vytvorenej požiadavky zneužiť na získanie administrátorského prístupu k zariadeniu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

FortiOS 7.0.X vo verziách starších ako 7.0.17
FortiProxy 7.2.X vo verziách starších ako 7.2.13
FortiProxy 7.0.X vo verziách starších ako 7.0.20

Pozn.: Zraniteľné sú všetky neaktualizované zariadenia s manažmentovým rozhraním dostupným z internetu.

Opis zraniteľnosti:

CVE-2024-55591 (CVSS skóre 9,6)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej požiadavky na websocket modul Node.js mohol zneužiť na získanie administrátorského prístupu (privilégiá super-admin) k zariadeniu.

Zraniteľnosť je aktívne zneužívaná minimálne od polovice novembra 2024. Útočníci po získaní kontroly nad zariadením vytvárajú nové používateľské účty (vrátane administrátorských), pridávajú ich do existujúcich alebo novovytvorených SSL VPN skupín, modifikujú firewallové pravidlá a vykonané úpravy zneužívajú na prienik do chránených VPN sietí.

Možné škody:

Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča vykonať bezodkladnú aktualizáciu FortiOS 7.0.X na verziu 7.0.17, FortiProxy 7.2.X na verziu 7.2.13 a FortiProxy 7.0.X na verziu 7.0.20 a limitovať prístup k manažmentovému rozhraniu firewallov. Prístup možno limitovať úplnou deaktiváciou manažmentového rozhrania alebo konfiguráciou zoznamu dôveryhodných IP adries v rámci zariadení. Kompletný návod môžete nájsť na stránke výrobcu v časti Workaround. Spoločnosť Fortinet taktiež odporúča vykonať hardening zariadení s FortiOS.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch FortiGate zariadení a logoch ďalších sieťových a bezpečnostných prvkov.

Indikátory kompromitácie (IoC):

IP adresy:

45.55.158[.]47
87.249.138[.]47
155.133.4[.]175
37.19.196[.]65
149.22.94[.]37

Aktivity útočníka generujú záznamy v logoch zariadení:

prihlásenie používateľa super_admin s náhodnými scrip a dstip (napr. 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.8.8, 8.8.4.4), príklad logového záznamu:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

vytvorenie administrátorského účtu s náhodne generovaným meno používateľa (napr. Gujhmk, Ed8x4k, G0xgey) a zdrojovou IP, príklad logového záznamu:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

Zdroje: