Το Fortinet προειδοποιεί για τείχη προστασίας στόχευσης Zero-Day Exploit με εκτεθειμένες διεπαφές

Η εταιρεία κυβερνοασφάλειας Fortinet κρούει τον κώδωνα του κινδύνου για μια ενεργή εκστρατεία ευπάθειας zero-day που στοχεύει συσκευές τείχους προστασίας FortiGate με εκτεθειμένες διεπαφές διαχείρισης. Αυτές οι επιθέσεις, που αποδίδονται σε άγνωστους παράγοντες απειλών, έχουν αναστατώσει τους οργανισμούς παγκοσμίως και υπογράμμισαν την κρίσιμη σημασία της ασφάλειας της εκτεθειμένης υποδομής.

Λεπτομέρειες καμπάνιας: Πώς εκτυλίχθηκαν οι επιθέσεις

Η κακόβουλη δραστηριότητα, η οποία ξεκίνησε στα μέσα Νοεμβρίου 2024, αξιοποιεί έναν απροσδιόριστο ακόμη φορέα αρχικής πρόσβασης για να θέσει σε κίνδυνο τις διεπαφές διαχείρισης τείχους προστασίας. Οι ερευνητές κυβερνοασφάλειας στο Arctic Wolf πιστεύουν ότι οι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια zero-day, δεδομένης της ταχείας εξάπλωσης και των εκδόσεων υλικολογισμικού που επηρεάζονται. Οι συσκευές που εκτελούν εκδόσεις υλικολογισμικού μεταξύ 7.0.14 και 7.0.16 στοχεύτηκαν ειδικά.

Οι επιτιθέμενοι ακολούθησαν μια υπολογισμένη στρατηγική τεσσάρων φάσεων:

1. Αναγνώριση και σάρωση – Αναγνώριση ευάλωτων συσκευών με χρήση αυτοματοποιημένων εργαλείων και ασυνήθιστων IP.
2. Configuration Manipulation – Αλλαγή ρυθμίσεων εξόδου για βοήθεια στη συλλογή πληροφοριών.
3. Κλιμάκωση προνομίων – Δημιουργία υπερλογαριασμών διαχειριστή και τροποποίηση υπαρχόντων λογαριασμών χρηστών.
4. Exploitation and Credential Harvesting – Δημιουργία σηράγγων SSL VPN και εξαγωγή διαπιστευτηρίων χρησιμοποιώντας την τεχνική DCSync για πλευρική κίνηση.

Η χρήση της διεπαφής jsconsole από εισβολείς και οι σήραγγες VPN από παρόχους φιλοξενίας εικονικών ιδιωτικών διακομιστών (VPS) ήταν σταθεροί δείκτες συμβιβασμού.

Η Fortinet επιβεβαιώνει κρίσιμη ευπάθεια

Στις 14 Ιανουαρίου 2025, η Fortinet αποκάλυψε λεπτομέρειες για το CVE-2024-55591, μια ευπάθεια παράκαμψης κρίσιμου ελέγχου ταυτότητας που επηρεάζει το FortiOS και το FortiProxy. Με βαθμολογία CVSS 9,6, αυτό το ελάττωμα επιτρέπει στους εισβολείς να αποκτήσουν προνόμια υπερ-διαχειριστή εκμεταλλευόμενοι τη λειτουργική μονάδα WebSocket Node.js.

Επηρεασμένες εκδόσεις

• FortiOS : 7.0.0 έως 7.0.16 (ενημερώθηκε σε 7.0.17 και νεότερη έκδοση)
• FortiProxy : 7.0.0 έως 7.0.19 και 7.2.0 έως 7.2.12 (επιδιορθώθηκε σε 7.0.20 και 7.2.13, αντίστοιχα)

Η Fortinet συμβούλεψε τους πελάτες να εφαρμόζουν άμεσα ενημερώσεις και να παρακολουθούν για ύποπτη δραστηριότητα. Οι οργανισμοί καλούνται να περιορίσουν την έκθεση της διεπαφής διαχείρισης και να περιορίσουν την πρόσβαση μόνο σε αξιόπιστους χρήστες.

CISA Action: A Push for Mitigation

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε το CVE-2024-55591 στον κατάλογό της με γνωστά τρωτά σημεία εκμετάλλευσης (KEV). Οι ομοσπονδιακές υπηρεσίες πρέπει να αντιμετωπίσουν αυτήν την ευπάθεια έως τις 21 Ιανουαρίου 2025.

Συστάσεις μετριασμού

Οι οργανισμοί που χρησιμοποιούν προϊόντα Fortinet θα πρέπει να λαμβάνουν τα ακόλουθα βήματα για τον μετριασμό των κινδύνων:

1. Ενημέρωση υλικολογισμικού – Εφαρμόστε τις πιο πρόσφατες ενημερώσεις κώδικα για το FortiOS και το FortiProxy, όπως ορίζεται στην προειδοποίηση της Fortinet.
2. Περιορισμός της πρόσβασης διεπαφής διαχείρισης – Αποκλεισμός της δημόσιας πρόσβασης σε διεπαφές διαχείρισης και χρήση VPN για απομακρυσμένη διαχείριση.
3. Παρακολούθηση αρχείων καταγραφής – Αναζητήστε ασυνήθιστες συνδέσεις ή αλλαγές διαμόρφωσης ενδεικτικές συμβιβασμού.
4. Ενεργοποίηση MFA – Επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων για όλους τους λογαριασμούς διαχείρισης.

Η ευκαιριακή στόχευση υπογραμμίζει την ανάγκη για επαγρύπνηση

Το εύρος της εκστρατείας και η έλλειψη συγκεκριμένων προφίλ θυμάτων υποδηλώνουν ευκαιριακή στόχευση και όχι εσκεμμένη επιλογή. Η αυτοματοποιημένη δραστηριότητα σύνδεσης/αποσύνδεσης και η ποικίλη θυματολογία ενισχύουν την ανάγκη για ισχυρά μέτρα ασφαλείας σε οργανισμούς όλων των μεγεθών και τομέων.

Καθώς οι επιθέσεις zero-day γίνονται όλο και πιο εξελιγμένες, η διασφάλιση της έγκαιρης ενημέρωσης κώδικα, ο περιορισμός της έκθεσης και η διατήρηση της επαγρύπνησης του δικτύου παραμένουν κρίσιμες για την άμυνα έναντι των εξελισσόμενων απειλών.