Aktywnie wykorzystywany zero-day na urządzenia Fortinet!

Jeśli używacie urządzeń Fortinet, sprawdźcie wersję systemu operacyjnego! Producent informuje o aktywnie wykorzystywanej w atakach luce zero-day. Zgodnie z informacjami firmy Arctic Wolf, skanowanie w poszukiwaniu tej podatności trwa już od połowy listopada, a od 12 grudnia 2024 trwa aktywne wykorzystywanie tej podatności i przejmowanie urządzeń przez atakujących.

Luka oznaczona jako CVE-2024-55591 dotyczy FortiOS w wersjach od 7.0.0 do 7.0.16 oraz FortiProxy w wersjach od 7.0.0 do 7.0.19 i od 7.2.0 do 7.2.12. Umożliwia zdalnym atakującym uzyskanie uprawnień super administratora poprzez wysyłanie odpowiednio spreparowanych żądań do modułu websocket Node.js. Na zaatakowanych systemach zaobserwowano nieautoryzowane tworzenie użytkowników administracyjnych lub lokalnych, modyfikacje zasad zapory (firewall policies) oraz nieautoryzowany dostęp do SSL VPN.

Fortinet zaleca administratorom środek zapobiegawczy w postaci tymczasowego wyłączenia interfejsu administracyjnego HTTP/HTTPS lub ograniczenia adresów IP, które mogą go używać. Przede wszystkim, jednak administratorzy są pilnie proszeni o szybkie zastosowanie dostępnych poprawek w celu ochrony swoich sieci.

Więcej informacji na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-24-535