Fortinet waarschuwt voor zero-day-exploit gericht op firewalls met blootgestelde interfaces
Cybersecuritybedrijf Fortinet heeft alarm geslagen over een actieve zero-day kwetsbaarheidscampagne gericht op FortiGate firewall-apparaten met blootgestelde beheerinterfaces. Deze aanvallen, toegeschreven aan onbekende dreigingsactoren, hebben organisaties wereldwijd verstoord en het cruciale belang van het beveiligen van blootgestelde infrastructuur onderstreept.
Table of Contents
Campagnedetails: Hoe de aanvallen zich ontvouwden
De kwaadaardige activiteit, die medio november 2024 begon, maakt gebruik van een nog onbekende initiële toegangsvector om firewallbeheerinterfaces te compromitteren. Cybersecurityonderzoekers bij Arctic Wolf geloven dat de aanvallers een zero-day-kwetsbaarheid hebben uitgebuit, gezien de snelle verspreiding en de getroffen firmwareversies. Apparaten met firmwareversies tussen 7.0.14 en 7.0.16 werden specifiek aangevallen.
De aanvallers volgden een berekende strategie met vier fasen:
- Verkenning en scannen – Identificatie van kwetsbare apparaten met behulp van geautomatiseerde hulpmiddelen en ongebruikelijke IP's.
- Configuratiemanipulatie – Uitvoerinstellingen wijzigen om het verzamelen van informatie te vergemakkelijken.
- Privilege-escalatie : superadminaccounts aanmaken en bestaande gebruikersaccounts wijzigen.
- Exploitatie en het verzamelen van inloggegevens : SSL VPN-tunnels opzetten en inloggegevens extraheren met behulp van de DCSync-techniek voor laterale verplaatsing.
Het gebruik van de jsconsole interface door aanvallers en VPN-tunnels van hostingproviders voor virtuele privéservers (VPS) waren consistente indicatoren van een inbreuk.
Fortinet bevestigt kritieke kwetsbaarheid
Op 14 januari 2025 maakte Fortinet details bekend van CVE-2024-55591, een kritieke authenticatie-omzeilingskwetsbaarheid die FortiOS en FortiProxy treft. Met een CVSS-score van 9,6 stelt deze fout aanvallers in staat om super-admin-rechten te verkrijgen door de Node.js WebSocket-module te exploiteren.
Beïnvloede versies
- FortiOS : 7.0.0 tot 7.0.16 (gepatcht in 7.0.17 en hoger)
- FortiProxy : 7.0.0 tot 7.0.19 en 7.2.0 tot 7.2.12 (gepatcht in respectievelijk 7.0.20 en 7.2.13)
Fortinet adviseerde klanten om updates direct toe te passen en te controleren op verdachte activiteiten. Organisaties worden dringend verzocht om de blootstelling van de beheerinterface te beperken en de toegang te beperken tot alleen vertrouwde gebruikers.
CISA-actie: een impuls voor mitigatie
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2024-55591 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus. Federale agentschappen moeten deze kwetsbaarheid uiterlijk 21 januari 2025 aanpakken.
Aanbevelingen voor mitigatie
Organisaties die Fortinet-producten gebruiken, moeten de volgende stappen ondernemen om de risico's te beperken:
- Firmware bijwerken – Pas de nieuwste patches voor FortiOS en FortiProxy toe zoals aangegeven in het advies van Fortinet.
- Beperk toegang tot beheerinterfaces : blokkeer openbare toegang tot beheerinterfaces en gebruik VPN's voor extern beheer.
- Monitor Logs – Zoek naar ongebruikelijke inloggegevens of configuratiewijzigingen die kunnen wijzen op een inbreuk.
- MFA inschakelen – Dwing multi-factor-authenticatie af voor alle beheerdersaccounts.
Opportunistische targeting onderstreept noodzaak tot waakzaamheid
De reikwijdte van de campagne en het ontbreken van specifieke slachtofferprofielen suggereren opportunistische targeting in plaats van bewuste selectie. Geautomatiseerde login/logout-activiteit en diverse victimologie versterken de noodzaak van robuuste beveiligingsmaatregelen in organisaties van alle groottes en sectoren.
Omdat zero-day-aanvallen steeds geavanceerder worden, zijn tijdige patches, het beperken van de blootstelling en het handhaven van de waakzaamheid van het netwerk van cruciaal belang voor de verdediging tegen nieuwe bedreigingen.
