Fortinet varnar för Zero-Day Exploit-inriktning mot brandväggar med exponerade gränssnitt

Cybersäkerhetsföretaget Fortinet har slagit larm om en aktiv nolldagars sårbarhetskampanj riktad mot FortiGate-brandväggsenheter med exponerade hanteringsgränssnitt. Dessa attacker, som tillskrivs okända hotaktörer, har stört organisationer globalt och understrukit den avgörande vikten av att säkra utsatt infrastruktur.

Kampanjdetaljer: Hur attackerna utvecklades

Den skadliga aktiviteten, som började i mitten av november 2024, utnyttjar en ännu obestämd initial åtkomstvektor för att äventyra brandväggshanteringsgränssnitten. Cybersäkerhetsforskare vid Arctic Wolf tror att angriparna utnyttjade en nolldagarssårbarhet, med tanke på den snabba spridningen och de firmwareversioner som påverkades. Enheter som körde firmwareversioner mellan 7.0.14 och 7.0.16 var specifikt inriktade.

Angriparna följde en beräknad strategi i fyra faser:

  1. Spaning och skanning – Identifiera sårbara enheter med hjälp av automatiserade verktyg och ovanliga IP-adresser.
  2. Konfigurationsmanipulation – Ändra utdatainställningar för att hjälpa till att samla in intelligens.
  3. Privilegiumupptrappning – Skapa superadministratörskonton och ändra befintliga användarkonton.
  4. Exploatering och skörd av referenser – Etablera SSL VPN-tunnlar och extrahera referenser med DCSync-tekniken för sidorörelse.

Användningen av jsconsole -gränssnittet av angripare och VPN-tunnlar från värdleverantörer för virtuell privat server (VPS) var konsekventa indikatorer på kompromiss.

Fortinet bekräftar kritisk sårbarhet

Den 14 januari 2025 avslöjade Fortinet detaljer om CVE-2024-55591, en kritisk sårbarhet för förbikoppling av autentisering som påverkar FortiOS och FortiProxy. Med ett CVSS-poäng på 9,6 gör detta fel det möjligt för angripare att få superadmin-privilegier genom att utnyttja Node.js WebSocket-modulen.

Berörda versioner

  • FortiOS : 7.0.0 till 7.0.16 (patchad i 7.0.17 och senare)
  • FortiProxy : 7.0.0 till 7.0.19 och 7.2.0 till 7.2.12 (patchad i 7.0.20 respektive 7.2.13)

Fortinet rådde kunderna att tillämpa uppdateringar omedelbart och övervaka misstänkt aktivitet. Organisationer uppmanas att begränsa exponeringen av hanteringsgränssnittet och begränsa åtkomsten till endast betrodda användare.

CISA Action: A Push for Mitigation

US Cybersecurity and Infrastructure Security Agency (CISA) har lagt till CVE-2024-55591 till sin KEV-katalog (Known Exploited Vulnerabilities). Federala myndigheter måste åtgärda denna sårbarhet senast den 21 januari 2025.

Begränsningsrekommendationer

Organisationer som använder Fortinet-produkter bör vidta följande åtgärder för att minska riskerna:

  1. Uppdatera firmware – Applicera de senaste patcharna för FortiOS och FortiProxy som specificerats i Fortinets råd.
  2. Begränsa åtkomst till hanteringsgränssnitt – Blockera offentlig åtkomst till hanteringsgränssnitt och använd VPN för fjärradministration.
  3. Övervaka loggar – Leta efter ovanliga inloggningar eller konfigurationsändringar som tyder på kompromiss.
  4. Aktivera MFA – Framtvinga multifaktorautentisering för alla administrativa konton.

Opportunistisk inriktning framhäver behovet av vaksamhet

Kampanjens omfattning och brist på specifika offerprofiler tyder på opportunistisk inriktning snarare än avsiktligt urval. Automatiserad in-/utloggningsaktivitet och mångsidig viktimologi förstärker behovet av robusta säkerhetsåtgärder i organisationer av alla storlekar och sektorer.

I takt med att nolldagsattacker blir allt mer sofistikerade, förblir säkerställande av snabb patchning, begränsning av exponering och upprätthållande av nätverksvaksamhet avgörande för försvaret mot föränderliga hot.

År Zane
January 16, 2025
Computer Security
Svenska
January 16, 2025
Computer Security

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.