Krytyczna podatność w FortiOS i FortiProxy – Authentication Bypass poprzez WebSocket

 
 
 
14sty
By Cyberbezpieczeństwo 0 Comments

Poziom zagrożenia: Wysoki
Status: Aktywnie wykorzystywana w atakach
CVSSv3 Score: 9.6
CVE ID: CVE-2024-55591

Opis podatności

Odkryto krytyczną podatność typu Authentication Bypass (CWE-288) w module WebSocket Node.js, wykorzystywanym w produktach FortiOS i FortiProxy. Podatność pozwala atakującemu na uzyskanie uprawnień super-administratora poprzez specjalnie spreparowane żądania. Co szczególnie niepokojące, podatność jest aktywnie wykorzystywana w atakach.

Affected Systems

FortiOS:

  • Wersja 7.0.0 – 7.0.16 (podatne)
  • Wersje 7.2, 7.4, 7.6 nie są dotknięte podatnością

FortiProxy:

  • Wersja 7.0.0 – 7.0.19 (podatne)
  • Wersja 7.2.0 – 7.2.12 (podatne)
  • Wersje 7.4, 7.6 nie są dotknięte podatnością

Obserwowane działania atakujących

Zaobserwowano następujące wzorce ataków:

  1. Tworzenie kont administratora z losowo generowanymi nazwami użytkowników
  2. Tworzenie lokalnych kont użytkowników i dodawanie ich do grup SSL VPN
  3. Modyfikacja ustawień zapory sieciowej i polityk bezpieczeństwa
  4. Logowanie przez SSL VPN w celu uzyskania dostępu do sieci wewnętrznej

Wskaźniki kompromitacji (IoC)

Podejrzane wpisy w logach:

				
					type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" 
user="admin" ui="jsconsole" method="jsconsole" action="login" status="success" 
profile="super_admin"
				
			
				
					
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

Przykładowe nazwy użytkowników używane przez atakujących:

  • Gujhmk
  • Ed8x4k
  • G0xgey
  • Pvnw81
  • Alg7c4

Zaobserwowane adresy IP atakujących:

  • 45.55.158.47 (najczęściej używany)
  • 87.249.138.47
  • 155.133.4.175
  • 37.19.196.65
  • 149.22.94.37

Zalecane działania

Natychmiastowe środki zaradcze:

  1. Aktualizacja systemów:
    • FortiOS do wersji 7.0.17 lub nowszej
    • FortiProxy do wersji 7.0.20 lub 7.2.13 (w zależności od używanej gałęzi)
  2. Jeśli aktualizacja nie jest możliwa natychmiast:
    • Wyłączenie interfejsu administracyjnego HTTP/HTTPS, lub
    • Ograniczenie dostępu do interfejsu administracyjnego poprzez konfigurację polityk local-in

Konfiguracja ograniczenia dostępu:

  1. Utworzenie grupy dozwolonych adresów IP
  2. Skonfigurowanie polityk local-in ograniczających dostęp tylko do zdefiniowanej grupy
  3. Weryfikacja konfiguracji trusthost dla wszystkich kont administratorów

Podsumowanie

Ze względu na aktywne wykorzystywanie podatności w atakach, zaleca się natychmiastowe podjęcie działań zabezpieczających. Szczególnie ważne jest przeprowadzenie aktualizacji systemu lub wdrożenie przedstawionych środków zaradczych. Należy również regularnie monitorować logi systemowe pod kątem przedstawionych wskaźników kompromitacji.

Dodatkowe informacje: 
https://fortiguard.fortinet.com/psirt/FG-IR-24-535

Share this post

Gotowi do pomocy

Porozmawiajmy o bezpieczeństwie Twojej firmy.

Skontaktuj się z nami