„Fortinet“ perspėja apie nulinės dienos išnaudojimo užkardas su atviromis sąsajomis

Kibernetinio saugumo įmonė „Fortinet“ paskelbė pavojaus signalą dėl aktyvios nulinės dienos pažeidžiamumo kampanijos, skirtos „FortiGate“ ugniasienės įrenginiams su atviromis valdymo sąsajomis. Šios atakos, priskiriamos nežinomiems grėsmės veikėjams, sutrikdė organizacijas visame pasaulyje ir pabrėžė itin svarbią atviros infrastruktūros apsaugą.

Informacija apie kampaniją: kaip vyko išpuoliai

Kenkėjiška veikla, prasidėjusi 2024 m. lapkričio viduryje, naudoja dar neapibrėžtą pradinį prieigos vektorių, kad pakenktų ugniasienės valdymo sąsajoms. „Arctic Wolf“ kibernetinio saugumo tyrėjai mano, kad užpuolikai pasinaudojo nulinės dienos pažeidžiamumu, atsižvelgiant į spartų plitimą ir paveiktas programinės įrangos versijas. Įrenginiai, kuriuose veikia 7.0.14–7.0.16 programinės įrangos versijos, buvo specialiai pritaikyti.

Užpuolikai laikėsi apskaičiuotos keturių fazių strategijos:

  1. Žvalgymas ir nuskaitymas – pažeidžiamų įrenginių nustatymas naudojant automatinius įrankius ir neįprastus IP.
  2. Konfigūracijos manipuliavimas – išvesties nustatymų keitimas, siekiant padėti rinkti informaciją.
  3. Privilegijų perkėlimas – superadministratoriaus paskyrų kūrimas ir esamų naudotojų paskyrų keitimas.
  4. Išnaudojimas ir kredencialų rinkimas – SSL VPN tunelių kūrimas ir kredencialų ištraukimas naudojant DCSync techniką judėjimui į šoną.

Tai, kad užpuolikai naudoja jsconsole sąsają, ir VPN tuneliai iš virtualaus privačiojo serverio (VPS) prieglobos paslaugų teikėjų buvo nuolatiniai kompromiso rodikliai.

Fortinet patvirtina kritinį pažeidžiamumą

2025 m. sausio 14 d. „Fortinet“ atskleidė išsamią informaciją apie CVE-2024-55591 – kritinį autentifikavimo apėjimo pažeidžiamumą, turintį įtakos „FortiOS“ ir „FortiProxy“. Dėl 9,6 CVSS balo ši klaida leidžia užpuolikams įgyti aukščiausios klasės administratoriaus teises, pasinaudojant Node.js WebSocket moduliu.

Paveiktos versijos

  • „FortiOS“ : nuo 7.0.0 iki 7.0.16 (pataisyta 7.0.17 ir naujesnėje versijoje)
  • FortiProxy : nuo 7.0.0 iki 7.0.19 ir nuo 7.2.0 iki 7.2.12 (atitinkamai pataisyta 7.0.20 ir 7.2.13)

„Fortinet“ patarė klientams nedelsiant taikyti atnaujinimus ir stebėti, ar nėra įtartinos veiklos. Organizacijos raginamos apriboti valdymo sąsajos poveikį ir apriboti prieigą tik patikimiems vartotojams.

CISA veiksmas: pastangos sušvelninti

JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įtraukė CVE-2024-55591 į žinomų išnaudotų pažeidžiamų vietų (KEV) katalogą. Federalinės agentūros turi pašalinti šį pažeidžiamumą iki 2025 m. sausio 21 d.

Sušvelninimo rekomendacijos

Organizacijos, naudojančios Fortinet produktus, turėtų imtis šių veiksmų, kad sumažintų riziką:

  1. Atnaujinti programinę-aparatinę įrangą – pritaikykite naujausius „FortiOS“ ir „FortiProxy“ pataisymus, kaip nurodyta „Fortinet“ patarime.
  2. Apriboti valdymo sąsajos prieigą – užblokuokite viešą prieigą prie valdymo sąsajų ir naudokite VPN nuotoliniam administravimui.
  3. Stebėti žurnalus – ieškokite neįprastų prisijungimų ar konfigūracijos pakeitimų, rodančių, kad įvyko kompromisas.
  4. Įgalinti MFA – įgalinkite kelių veiksnių autentifikavimą visose administracinėse paskyrose.

Oportunistinis taikymas pabrėžia, kad reikia būti budriems

Kampanijos apimtis ir konkrečių aukų profilių trūkumas rodo oportunistinį taikymą, o ne sąmoningą pasirinkimą. Automatizuota prisijungimo / atsijungimo veikla ir įvairi viktimologija sustiprina tvirtų saugumo priemonių poreikį visų dydžių ir sektorių organizacijose.

Kadangi nulinės dienos atakos tampa vis sudėtingesnės, apsaugant nuo besivystančių grėsmių tebėra labai svarbu užtikrinti savalaikį pataisymą, apriboti poveikį ir palaikyti tinklo budrumą.

Iki Zane m
January 16, 2025
Computer Security
Lietuvių
January 16, 2025
Computer Security

Populiarūs skelbimai

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

11 months atgal

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

12 days atgal

Atkreipkite dėmesį: kažkas jus įtraukė kaip atkūrimo el. pašto...

10 months atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

7 months atgal

Galimai rimta grėsmė: Trojos arklys:Win32/Suschil!rfn

19 days atgal

Kas yra Packunwan Trojos arklio grėsmė ir kaip ji gali...

11 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.