Fortinet Saldırganların, kurumsal ağları ihlal etmek de dahil olmak üzere haklı faaliyetler yürütmek için cihazlara süper yönetici erişim elde etmek için sömürülen forios ve foriproxy ürünlerini etkileyen aktif olarak sömürülen sıfır günlük kimlik doğrulama baypası kusurunu yamaladı.
Fortinet, kritik olarak derecelendirilen ve CVE-2024-55591 (CVSS 9.6), bir FortiGuard Labs güvenlik danışmanlığına göre, “uzak bir saldırganın Node.js Websocket modülüne hazırlanmış istekler yoluyla süper admin ayrıcalıkları kazanmasına izin verebilecek alternatif bir yol veya kanal güvenlik açığı kullanan bir kimlik doğrulama bypass” olarak hafta.
Fortinet, kusurdan yararlanarak çeşitli kötü amaçlı operasyonlar gerçekleştiren tehdit aktörlerini gözlemledi. Bu etkinlikler şunları içerir: Rastgele bir kullanıcı adına sahip cihazda bir yönetici hesabı oluşturmak; Rastgele bir kullanıcı adıyla cihazda yerel bir kullanıcı hesabı oluşturmak; bir kullanıcı grubu oluşturmak veya mevcut bir SSL VPN kullanıcı grubuna yerel kullanıcı eklemek; güvenlik duvarı ilkesi ve/veya güvenlik duvarı adresi dahil olmak üzere diğer ayarların eklenmesi ve/veya değiştirilmesi; ve dahili ağa bir tünel almak için SSL VPN’ye giriş yapmak.
Fortinet, etkilenen ürünleri kullanan müşterilerin Önerilen yükseltme yolunu izleyin Web sitesinde kusuru azaltmak için. Ayrıca danışmanlığında geçici çözüm seçenekleri sundu.
Fortinet sıfır gün sömürüsünün ilk belirtileri
Bir şeyin yanlış olduğuna dair ilk işaretler, bu ayın başlarında, araştırmacıların Arktik Kurt ortaya çıktı O sıfır gün kusuru Kamu internette maruz kalan yönetim arayüzleri ile Fortigate güvenlik duvarı cihazlarına yapılan son saldırılar için suçlanacaktı. Saldırganlar, yetkisiz yönetimsel girişler oluşturmak ve diğer yapılandırma değişiklikleri yapmak, yeni hesaplar oluşturmak ve SSL VPN kimlik doğrulaması yapmak için cihazları hedefliyorlardı.
Fortinet, geçen hafta geç saatlerde durumun yamasını ve kapsamını ortaya çıkarmadan önce sorunun müşteri tabanını sessizce bildirdi; Bir blog yazısına göre, bu düşük anahtar vahiy, Arctic Wolf’un rüzgarı nasıl aldığıdır. kusuru analiz etmek 27 Ocak’ta yayınlanan WatchTowr Labs tarafından, güvenlik araştırmacıları henüz kusurun ne olduğunu veya sömürünün ne gerektirdiğini henüz bilmiyorlardı.
Şimdi daha net hale geldi. Kusur, WatchTowr Labs’a göre, Fortios’un yönetim arayüzündeki komut satırı arabirimi (CLI) komutlarını yürütmek için bir grafik kullanıcı arayüzü (GUI) özelliği olan JSConsole işlevselliği içinde ikamet etti. Post’a göre, “Özellikle, bu işlevdeki zayıflık, saldırganların yeni bir idari hesap eklemesine izin verdi.”
JSConsole, etkilenen Fortinet aletlerinin CLI’sine WebSocket tabanlı bir web konsoludur. WatchTowr Labs’a göre, “Bu CLI tamamen güçlüdür, çünkü meşru yöneticiler tarafından cihazı yapılandırmak için kullanılan gerçek sağlanan CLI ile etkili bir şekilde aynıdır.” Bu nedenle, bir saldırgan web konsoluna erişim kazanırsa, cihazın kendisi tehlikeye atılmalıdır.
Araştırmacılar, güvenlik açığına derin bir dalış yaptılar ve aslında saldırganların süper idari erişim elde etmek için dört temel adım izlemesine izin veren bir kritik kırılganlık halinde birleştirilmiş bir sorun zinciri olduğunu buldular.
Bu adımlar şunlardır: Önceden onaylanmış bir HTTP isteğinden bir WebSocket bağlantısı oluşturmak; Oturum kontrollerini atlamak için özel bir parametre local_access_token kullanma; Sunucudan önce kimlik doğrulama göndermek için WebSocket Telnet CLI’deki bir yarış koşulundan yararlanmak; ve bir saldırganın varsaymak istediği erişim profilini seçmek, araştırmacıların kavram kanıtı olması durumunda süper yönetici olacak.
CVE-2024-55591’e karşı azaltma ve koruma
Fortinet Cihazları Tehdit aktörleri için popüler bir hedeftir ve ürünlerde bulunan güvenlik açıkları genellikle sadece cihazları ihlal etmek için değil, aynı zamanda kurumsal ağlara saldırmaya bir giriş noktası olarak da işlev görür.
Kusurdan etkilenen cihazları kullanan kuruluşların uygun güncelleme yolunu izlemeleri veya Fortinet tarafından sağlanan geçici çözümü uygulamaları tavsiye edilir.
Fortinet ayrıca, bir saldırganın genellikle saldırıyı gerçekleştirmek için bir yönetici hesabının kullanıcı adını bilmesi ve kusurdan yararlanmak için CLE’ye giriş yapması gerektiğini de belirtti. Danışma, “Bu nedenle, yönetici hesapları için standart olmayan ve tahmin edilemez bir kullanıcı adına sahip olmak, bazı koruma sunar ve genel olarak en iyi uygulamadır.”
Bununla birlikte, şirket, hedeflenen Websocket’in kendisi bir kimlik doğrulama noktası olmadığından, saldırganların hala kusurdan yararlanmak için kullanıcı adını zorlama olasılığına sahip olduklarını da sözlerine ekledi.