ΑρχικήSecurityFortinet: Zero-day ευπάθεια χρησιμοποιείται για παραβίαση firewalls

Fortinet: Zero-day ευπάθεια χρησιμοποιείται για παραβίαση firewalls

Μια νέα zero-day ευπάθεια στο FortiOS και το FortiProxy χρησιμοποιείται από hackers για την παραβίαση Fortinet firewalls και κατ’ επέκταση την παραβίαση εταιρικών δικτύων.

Fortinet firewalls ευπάθεια Zero-day

Η ευπάθεια παρακολουθείται ως CVE-2024-55591 και επιτρέπει την παράκαμψη ελέγχου ταυτότητας. Επηρεάζει τα FortiOS 7.0.0 έως 7.0.16, FortiProxy 7.0.0 έως 7.0.19 και FortiProxy 7.2.0 έως 7.2.12. Η επιτυχής εκμετάλλευση επιτρέπει σε απομακρυσμένους εισβολείς να αποκτήσουν προνόμια super-admin κάνοντας κακόβουλα αιτήματα στο Node.js websocket module.

Σύμφωνα με τη Fortinet, οι κυβερνοεγκληματίες δημιουργούν randomly generated admin ή local users σε παραβιασμένες συσκευές και τους προσθέτουν σε υπάρχουσες ομάδες χρηστών SSL VPN (ή σε νέες που προσθέτουν οι ίδιοι).

Advertisement

Δείτε επίσης: Microsoft Patch Tuesday Ιανουαρίου 2025: Διορθώνει 159 ευπάθειες

Επιπλέον, σε κάποιες περιπτώσεις, οι επιτιθέμενοι έχουν προσθέσει ή αλλάξει firewall policies και άλλες ρυθμίσεις και έχουν συνδεθεί στο SSLVPN χρησιμοποιώντας rogue accounts “για να φτάσουν ένα tunnel στο εσωτερικό δίκτυο”.

Η Fortinet δεν έδωσε άλλες λεπτομέρειες για τις επιθέσεις που παραβιάζουν firewalls, αλλά η εταιρεία κυβερνοασφάλειας Arctic Wolf δημοσίευσε μια έκθεση με δείκτες παραβίασης (IOC). Σύμφωνα με την Arctic Wolf, τα Fortinet FortiGate firewalls με διεπαφές διαχείρισης που είναι εκτεθειμένες στο Διαδίκτυο, έχουν δεχθεί επίθεση από τα μέσα Νοεμβρίου.

Η εταιρεία κυβερνοασφάλειας ανέφερε ότι οι πρόσφατες επιθέσεις περιλαμβάνουν μη εξουσιοδοτημένα administrative logins σε management interfaces των Fortinet firewalls, δημιουργία νέων λογαριασμών, έλεγχο ταυτότητας SSL VPN μέσω αυτών των λογαριασμών και διάφορες άλλες αλλαγές διαμόρφωσης.

Οι οργανισμοί θα πρέπει να απενεργοποιήσουν το firewall management access στις δημόσιες διεπαφές το συντομότερο δυνατό.

Η Fortinet συμβούλεψε επίσης τους διαχειριστές να απενεργοποιήσουν το HTTP/HTTPS administrative interface ή να περιορίσουν τις διευθύνσεις IP που μπορούν να φτάσουν στο administrative interface μέσω local-in policies.

Δείτε επίσης: Η ευπάθεια “Σύνδεση με Google” του Google OAuth εκθέτει εκατομμύρια λογαριασμούς

Η Fortinet και η Arctic Wolf μοιράστηκαν σχεδόν πανομοιότυπα IOC. Οι χρήστες μπορούν να εξετάσουν τα αρχεία καταγραφής για τις ακόλουθες καταχωρίσεις για να δουν αν επηρεάζονται από τις επιθέσεις.

Μετά τη σύνδεση μέσω της ευπάθειας, τα αρχεία καταγραφής θα εμφανίσουν μια τυχαία διεύθυνση source IP και destination IP:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

Αφού οι φορείς απειλής δημιουργήσουν έναν χρήστη διαχειριστή, θα δημιουργηθεί ένα αρχείο καταγραφής. Φαίνεται να είναι ένα randomly generated user name και source IP address:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

Οι εταιρείες προειδοποίησαν επίσης ότι οι εισβολείς χρησιμοποιούσαν συνήθως τις ακόλουθες διευθύνσεις IP σε επιθέσεις:

1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4

Η Arctic Wolf λέει ότι ειδοποίησε τη Fortinet για τις επιθέσεις στις 12 Δεκεμβρίου 2024. Η εταιρεία γνώριζε για τις επιθέσεις και είχε ήδη ξεκινήσει έρευνα.

Δείτε επίσης: Η CISA πρόσθεσε ευπάθεια BeyondTrust στον Κατάλογο KEV

Fortinet: Zero-day ευπάθεια χρησιμοποιείται για παραβίαση firewalls

Οι επιπτώσεις αυτής της ευπάθειας είναι σημαντικές, δεδομένου ότι παρέχει στους εισβολείς τη δυνατότητα να υπονομεύσουν τα επηρεαζόμενα συστήματα. Πέρα από την εφαρμογή ενημερώσεων, συνιστάται η παρακολούθηση του network traffic για οποιαδήποτε ασυνήθιστη δραστηριότητα που μπορεί να υποδεικνύει απόπειρες εκμετάλλευσης. Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η έγκαιρη αντιμετώπιση τέτοιων τρωτών σημείων είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας.

Οι οργανισμοί δεν μπορούν να βασίζονται απλώς σε αντιδραστικά μέτρα για την προστασία των συστημάτων τους. Τα προληπτικά βήματα, όπως η τακτική επιδιόρθωση γνωστών τρωτών σημείων και η εφαρμογή ισχυρών ελέγχων πρόσβασης, είναι απαραίτητα για τον μετριασμό των πιθανών κινδύνων.

Η εκμετάλλευση της ευπάθειας για την παραβίαση των Fortinet firewalls χρησιμεύει ως υπενθύμιση ότι οι εισβολείς αναζητούν συνεχώς νέους τρόπους διείσδυσης σε δίκτυα και παραβίασης ευαίσθητων δεδομένων. Υπογραμμίζει επίσης τη σημασία της παραμονής σε εγρήγορση και της εφαρμογής ενημερώσεων που παρέχονται από προμηθευτές λογισμικού.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS