Fortinet avertizează cu privire la o nouă vulnerabilitate zero-day

Persoanele rău intenționate exploatează o nouă vulnerabilitate de tip zero-day de ocolire a autentificării în FortiOS și FortiProxy pentru a prelua firewall-urile Fortinet și a pătrunde în rețelele întreprinderilor.

Această vulnerabilitate (CVE-2024-55591) afectează FortiOS 7.0.0 până la 7.0.16, FortiProxy 7.0.0 până la 7.0.19 și FortiProxy 7.2.0 până la 7.2.12. Exploatarea cu succes permite atacatorilor de la distanță să obțină privilegii de super-admin prin efectuarea de cereri malițioase către modulul Node.js websocket.

Fortinet spune că atacatorii care exploatează acest zero-day creează conturi de admin sau useri locali generați aleatoriu pe dispozitivele compromise și îi adaugă la grupurile de utilizatori SSL VPN existente sau la altele noi pe care le adaugă, de asemenea.

De asemenea, aceștia au fost observați adăugând sau modificând politicile firewall și alte setări și conectându-se la SSLVPN folosind conturi false create anterior pentru a obține o cale către rețeaua internă.

Fortinet a sfătuit, de asemenea, administratorii să dezactiveze interfața administrativă HTTP/HTTPS sau să limiteze adresele IP care pot ajunge la interfața administrativă prin intermediul politicilor local-in ca o soluție de rezervă.

Fortinet a lasant, de asemenea, patch-uri de securitate pentru o vulnerabilitate critică hard-coded cryptographic key (CVE-2023-37936). Această vulnerabilitate permite atacatorilor de la distanță, neautentificați, care dețin cheia să ruleze cod neautorizat prin cereri criptografice malițioase.

Sursă: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-auth-bypass-zero-day-exploited-to-hijack-firewalls/