Fortinet advarer om Zero-Day Exploit-målretning mod firewalls med udsatte grænseflader

Cybersikkerhedsfirmaet Fortinet har slået alarm om en aktiv nul-dages sårbarhedskampagne målrettet FortiGate firewall-enheder med synlige administrationsgrænseflader. Disse angreb, der tilskrives ukendte trusselsaktører, har forstyrret organisationer globalt og understreget den kritiske betydning af at sikre udsat infrastruktur.

Kampagnedetaljer: Hvordan angrebene forløb

Den ondsindede aktivitet, som begyndte i midten af november 2024, udnytter en endnu ikke bestemt indledende adgangsvektor til at kompromittere firewall-administrationsgrænseflader. Cybersikkerhedsforskere hos Arctic Wolf mener, at angriberne udnyttede en nul-dages sårbarhed i betragtning af den hurtige spredning og de berørte firmwareversioner. Enheder, der kører firmwareversioner mellem 7.0.14 og 7.0.16, var specifikt målrettet.

Angriberne fulgte en beregnet, fire-faset strategi:

1. Rekognoscering og scanning – Identifikation af sårbare enheder ved hjælp af automatiserede værktøjer og usædvanlige IP'er.
2. Konfigurationsmanipulation – Ændring af outputindstillinger for at hjælpe med at indsamle intelligens.
3. Privilege-eskalering – Oprettelse af superadministratorkonti og ændring af eksisterende brugerkonti.
4. Udnyttelse og indsamling af legitimationsoplysninger – Etablering af SSL VPN-tunneler og udtrækning af legitimationsoplysninger ved hjælp af DCSync-teknikken til lateral bevægelse.

Angribernes brug af jsconsole -grænsefladen og VPN-tunneler fra udbydere af virtuelle private servere (VPS) var konsekvente indikatorer på kompromis.

Fortinet bekræfter kritisk sårbarhed

Den 14. januar 2025 afslørede Fortinet detaljer om CVE-2024-55591, en kritisk autentificeringsomgåelsessårbarhed, der påvirker FortiOS og FortiProxy. Med en CVSS-score på 9,6 gør denne fejl det muligt for angribere at opnå superadmin-rettigheder ved at udnytte Node.js WebSocket-modulet.

Berørte versioner

• FortiOS : 7.0.0 til 7.0.16 (patchet i 7.0.17 og nyere)
• FortiProxy : 7.0.0 til 7.0.19 og 7.2.0 til 7.2.12 (patchet i henholdsvis 7.0.20 og 7.2.13)

Fortinet rådede kunder til at anvende opdateringer med det samme og overvåge for mistænkelig aktivitet. Organisationer opfordres til at begrænse eksponeringen af administrationsgrænsefladen og begrænse adgangen til kun betroede brugere.

CISA Action: A Push for Mitigation

US Cybersecurity and Infrastructure Security Agency (CISA) har føjet CVE-2024-55591 til sit KEV-katalog (Kendt Udnyttede Vulnerabilities). Føderale agenturer skal løse denne sårbarhed senest den 21. januar 2025.

Afhjælpningsanbefalinger

Organisationer, der bruger Fortinet-produkter, bør tage følgende skridt for at mindske risiciene:

1. Opdater firmware – Anvend de seneste patches til FortiOS og FortiProxy som specificeret i Fortinets vejledning.
2. Begræns administrationsgrænsefladeadgang – Bloker offentlig adgang til administrationsgrænseflader og brug VPN'er til fjernadministration.
3. Overvåg logs – Se efter usædvanlige logins eller konfigurationsændringer, der indikerer kompromis.
4. Aktiver MFA – Håndhæv multifaktorgodkendelse for alle administrative konti.

Opportunistisk målretning fremhæver behovet for årvågenhed

Kampagnens omfang og mangel på specifikke offerprofiler tyder på opportunistisk målretning frem for bevidst udvælgelse. Automatiseret login/logout-aktivitet og forskelligartet viktimologi forstærker behovet for robuste sikkerhedsforanstaltninger på tværs af organisationer i alle størrelser og sektorer.

Efterhånden som zero-day-angreb bliver mere og mere sofistikerede, forbliver sikring af rettidig patchning, begrænsning af eksponering og opretholdelse af netværksbevågenhed afgørende for forsvaret mod nye trusler.