Fortinet avverte di un exploit zero-day che prende di mira i firewall con interfacce esposte

La società di sicurezza informatica Fortinet ha lanciato l'allarme su una campagna di vulnerabilità zero-day attiva che ha preso di mira i dispositivi firewall FortiGate con interfacce di gestione esposte. Questi attacchi, attribuiti ad attori di minacce sconosciuti, hanno sconvolto le organizzazioni a livello globale e sottolineato l'importanza critica della protezione delle infrastrutture esposte.

Dettagli della campagna: come si sono svolti gli attacchi

L'attività dannosa, iniziata a metà novembre 2024, sfrutta un vettore di accesso iniziale ancora indeterminato per compromettere le interfacce di gestione del firewall. I ricercatori di sicurezza informatica di Arctic Wolf ritengono che gli aggressori abbiano sfruttato una vulnerabilità zero-day, data la rapida diffusione e le versioni del firmware interessate. I dispositivi che eseguono versioni del firmware comprese tra 7.0.14 e 7.0.16 sono stati specificamente presi di mira.

Gli aggressori hanno seguito una strategia calcolata, articolata in quattro fasi:

1. Ricognizione e scansione : identificazione di dispositivi vulnerabili mediante strumenti automatizzati e IP insoliti.
2. Manipolazione della configurazione : modifica delle impostazioni di output per facilitare la raccolta di informazioni.
3. Escalation dei privilegi : creazione di account super amministratore e modifica di account utente esistenti.
4. Sfruttamento e raccolta di credenziali : creazione di tunnel SSL VPN ed estrazione di credenziali utilizzando la tecnica DCSync per lo spostamento laterale.

L'uso dell'interfaccia jsconsole da parte degli aggressori e dei tunnel VPN dei provider di hosting di server privati virtuali (VPS) erano indicatori coerenti di compromissione.

Fortinet conferma vulnerabilità critica

Il 14 gennaio 2025, Fortinet ha divulgato i dettagli di CVE-2024-55591, una vulnerabilità critica di bypass dell'autenticazione che colpisce FortiOS e FortiProxy. Con un punteggio CVSS di 9,6, questa falla consente agli aggressori di ottenere privilegi di super-amministratore sfruttando il modulo WebSocket di Node.js.

Versioni interessate

• FortiOS : da 7.0.0 a 7.0.16 (corretto in 7.0.17 e versioni successive)
• FortiProxy : da 7.0.0 a 7.0.19 e da 7.2.0 a 7.2.12 (corretti rispettivamente in 7.0.20 e 7.2.13)

Fortinet ha consigliato ai clienti di applicare immediatamente gli aggiornamenti e di monitorare le attività sospette. Le organizzazioni sono invitate a limitare l'esposizione dell'interfaccia di gestione e a limitare l'accesso solo agli utenti fidati.

Azione CISA: una spinta per la mitigazione

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto CVE-2024-55591 al suo catalogo Known Exploited Vulnerabilities (KEV). Le agenzie federali devono risolvere questa vulnerabilità entro il 21 gennaio 2025.

Raccomandazioni di mitigazione

Le organizzazioni che utilizzano prodotti Fortinet dovrebbero adottare le seguenti misure per mitigare i rischi:

1. Aggiorna firmware : applica le patch più recenti per FortiOS e FortiProxy come specificato nell'avviso di Fortinet.
2. Limita l'accesso all'interfaccia di gestione : blocca l'accesso pubblico alle interfacce di gestione e utilizza VPN per l'amministrazione remota.
3. Monitora i registri : cerca accessi insoliti o modifiche alla configurazione che indicano una compromissione.
4. Abilita MFA : applica l'autenticazione a più fattori per tutti gli account amministrativi.

Il targeting opportunistico evidenzia la necessità di vigilanza

La portata della campagna e la mancanza di profili specifici delle vittime suggeriscono un targeting opportunistico piuttosto che una selezione deliberata. L'attività di login/logout automatizzata e la vittimologia diversificata rafforzano la necessità di misure di sicurezza robuste in organizzazioni di tutte le dimensioni e settori.

Poiché gli attacchi zero-day diventano sempre più sofisticati, garantire l'applicazione tempestiva delle patch, limitare l'esposizione e mantenere la vigilanza della rete restano aspetti essenziali per difendersi dalle minacce in continua evoluzione.