CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate Zero-Day posibil exploatată în atacuri asupra firewall-urilor Fortinet

14 ianuarie 2025

Sursă: https://thehackernews.com

Specialiștii în securitate cibernetică atrag atenția asupra unei noi campanii ce a vizat dispozitivele firewall Fortinet FortiGate cu interfețe de administrare expuse în Internet.

Campania a implicat autentificări administrative neautorizate pe interfețele de administrare ale firewall-urilor, crearea de noi conturi, autentificarea SSL VPN prin aceste conturi și diverse alte modificări de configurare, a semnalat o echipă de specialiști în securitate cibernetică.

Se estimează că activitatea malițioasă a început la jumătatea lunii noiembrie 2024, persoane rău intenționate obținând acces neautorizat la interfețele de gestionare ale firewall-urilor afectate pentru a modifica configurațiile și a extrage credențiale utilizând DCSync.

Versiunile de firmware ale dispozitivelor care au fost afectate au variat între 7.0.14 și 7.0.16, care au fost lansate în februarie și, respectiv, octombrie 2024.

Campania a fost observată trecând prin patru faze de atac distincte care au început în jurul datei de 16 noiembrie 2024, permițând actorilor răi să progreseze de la scanarea și recunoașterea vulnerabilităților la modificări de configurație și mișcări laterale.

Se presupune că aceste conturi de superadministrator nou create au fost utilizate ulterior pentru a crea până la șase conturi noi de utilizator local pentru fiecare dispozitiv și pentru a le adăuga la grupurile existente care fuseseră create anterior de organizațiile utilizatorilor pentru accesul SSL VPN. În alte incidente, conturile existente au fost deturnate și adăugate la grupuri cu acces VPN.

Campania a culminat cu utilizarea de către atacatori a accesului SSL VPN pentru a extrage credențiale în vederea unor operațiuni de tip lateral movement folosind o tehnică numită DCSync.

Pentru a diminua astfel de riscuri, este esențial ca interfața de administrare a firewall-urilor să nu fie expusă în internet și să fie limitat accesul la utilizatorii de încredere.

Sursă: https://thehackernews.com/2025/01/zero-day-vulnerability-suspected-in.html

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |