A Fortinet nulla napos exploit célzó tűzfalakra figyelmeztet, szabad felülettel

A Fortinet kiberbiztonsági cég megkongatta a vészharangot egy aktív nulladik napi sebezhetőségi kampányban, amely a szabad felügyeleti interfésszel rendelkező FortiGate tűzfaleszközöket célozza meg. Ezek az ismeretlen fenyegetés szereplőinek tulajdonított támadások világszerte megzavarták a szervezeteket, és hangsúlyozták a kiszolgáltatott infrastruktúra biztosításának kritikus fontosságát.

A kampány részletei: Hogyan bontakoztak ki a támadások

A 2024. november közepén kezdődött rosszindulatú tevékenység egy egyelőre meghatározatlan kezdeti hozzáférési vektort használ fel a tűzfalfelügyeleti felületek veszélyeztetésére. Az Arctic Wolf kiberbiztonsági kutatói úgy vélik, hogy a támadók egy nulladik napi sebezhetőséget használtak ki, tekintettel a gyors terjedésre és az érintett firmware-verziókra. Kifejezetten a 7.0.14 és 7.0.16 közötti firmware-verziót futtató eszközöket célozták meg.

A támadók kiszámított, négyfázisú stratégiát követtek:

1. Felderítés és szkennelés – Sebezhető eszközök azonosítása automatizált eszközök és szokatlan IP-címek segítségével.
2. Konfiguráció manipuláció – A kimeneti beállítások módosítása az intelligencia gyűjtésének elősegítése érdekében.
3. Jogosultságok kiterjesztése – Kiemelt rendszergazdai fiókok létrehozása és meglévő felhasználói fiókok módosítása.
4. Kihasználás és hitelesítő adatok begyűjtése – SSL VPN-alagutak létrehozása és hitelesítő adatok kinyerése a DCSync technikával az oldalirányú mozgáshoz.

A jsconsole interfész támadók általi használata és a virtuális privát szerver (VPS) tárhelyszolgáltatók VPN-alagutak használata a kompromisszum következetes jele volt.

A Fortinet megerősíti a kritikus sebezhetőséget

2025. január 14-én a Fortinet nyilvánosságra hozta a CVE-2024-55591, a FortiOS-t és a FortiProxyt érintő kritikus hitelesítési megkerülő sérülékenység részleteit. A 9,6-os CVSS-pontszámmal ez a hiba lehetővé teszi a támadók számára, hogy szuperrendszergazdai jogosultságokat szerezzenek a Node.js WebSocket modul kihasználásával.

Érintett verziók

• FortiOS : 7.0.0-7.0.16 (javítva a 7.0.17-es és újabb verziókban)
• FortiProxy : 7.0.0-7.0.19 és 7.2.0-7.2.12 (7.0.20-ban és 7.2.13-ban javítva)

A Fortinet azt tanácsolta az ügyfeleknek, hogy azonnal alkalmazzák a frissítéseket, és figyeljék a gyanús tevékenységeket. A szervezeteket arra kérik, hogy korlátozzák a felügyeleti interfész kitettségét, és csak a megbízható felhasználók számára korlátozzák a hozzáférést.

CISA-akció: nyomás a mérséklésre

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) felvette a CVE-2024-55591 jelet az Ismert Kihasznált Sebezhetőségek (KEV) katalógusába. A szövetségi szerveknek 2025. január 21-ig orvosolniuk kell ezt a sebezhetőséget.

Mérséklési ajánlások

A Fortinet termékeket használó szervezeteknek a következő lépéseket kell tenniük a kockázatok csökkentése érdekében:

1. Firmware frissítése – Alkalmazza a FortiOS és a FortiProxy legújabb javításait a Fortinet tanácsában leírtak szerint.
2. A felügyeleti interfész hozzáférésének korlátozása – blokkolja a nyilvános hozzáférést a felügyeleti felületekhez, és távoli adminisztrációhoz használjon VPN-eket.
3. Monitornaplók – Keressen szokatlan bejelentkezéseket vagy konfigurációs változásokat, amelyek kompromisszumra utalnak.
4. MFA engedélyezése – A többtényezős hitelesítés kényszerítése minden adminisztrációs fiókhoz.

Az opportunista célzás kiemeli az éberség szükségességét

A kampány hatóköre és a konkrét áldozatprofilok hiánya inkább opportunista célzásra utal, mint szándékos szelekcióra. Az automatizált be-/kijelentkezési tevékenység és a sokrétű viktimológia megerősíti a robusztus biztonsági intézkedések szükségességét minden méretű és ágazati szervezetben.

Ahogy a nulladik napi támadások egyre kifinomultabbá válnak, az időszerű javítás biztosítása, a kitettség korlátozása és a hálózati éberség fenntartása továbbra is kritikus fontosságú a fejlődő fenyegetésekkel szembeni védekezésben.