Atnaujinimas 2/11/25 07:32 PM ET: Paskelbęs mūsų istoriją, „Fortinet“ mus informavo, kad naujasis CVE-2025-24472 trūkumas, pridėtas prie FG-IR-24-535, šiandien nėra nulinė diena ir jau buvo nustatyta sausį.
Be to, nors šiandien atnaujintas patarimas rodo, kad abu trūkumai buvo išnaudoti atakose ir netgi apima naujų CSF tarpinio serverio užklausų išnaudojimo kelio sprendimą, „Fortinet“ sako, kad buvo išnaudota tik CVE-2024-55591.
„Fortinet“ sakė „Bleepingcomputer“, kad jei klientas anksčiau patobulintas pagal FG-IR-24-535 / CVE-2024-55591 gaires, tada jie jau yra apsaugoti nuo naujai atskleisto pažeidžiamumo.
Mūsų istorijos pavadinimas buvo atnaujintas, kad atspindėtų šią naują informaciją, o mūsų originalus straipsnis yra žemiau.
Šiandien „Fortinet“ perspėjo, kad užpuolikai išnaudoja dar vieną dabar esančią nulinės dienos klaidą „Fortios“ ir „FortiProxy“, kad užgrobtų „Fortinet“ ugniasienes ir „Breach“ įmonių tinklus.
Sėkmingas šio autentifikavimo aplinkkelio pažeidžiamumas (CVE-2025-24472) leidžia nuotoliniams užpuolikams įgyti super administravimo privilegijų pateikiant piktybiškai pagamintus CSF tarpinio serverio užklausas.
Saugumo trūkumas daro įtaką „FortiOS 7.0.0 – 7.0.16“, „Fortriploxy 7.0.0 – 7.0.19“ ir „Fortriploxy 7.2.0 – 7.2.12“. „Fortinet“ jį pritvirtino „FortiOS 7.0.17“ ar aukštesnėje ir „FortripleSy 7.0.20/7.2.13“ ar daugiau.
„Fortinet“ pridėjo klaidą kaip naują „CVE-ID“, kurį praėjusį mėnesį išleido saugumo patarimas, įspėjantis klientus, kad grėsmės veikėjai išnaudojo nulinės dienos pažeidžiamumą „Fortios“ ir „FortiProxy“ (stebimi kaip CVE-2024-55591), kuri turėjo įtakos toms pačioms programinės įrangos versijoms. Tačiau dabar fiksuotą CVE-2024-55591 trūkumą būtų galima išnaudoti siunčiant kenksmingus užklausas į „Node.js WebSocket“ modulį.
Anot „Fortinet“, užpuolikai išnaudoja du pažeidžiamumus, kad sugeneruotų atsitiktinius administratoriaus ar vietinius vartotojus paveiktuose įrenginiuose, pridėdami juos prie naujų ir esamų SSL VPN vartotojų grupių. Jie taip pat buvo matomi keičiant ugniasienės politiką ir kitas konfigūracijas bei prieigą prie SSLVPN egzempliorių su anksčiau nustatytomis nesąžiningomis paskyromis „Norėdami gauti tunelį vidiniam tinklui.Network“.
Nors „Fortinet“ nepateikė papildomos informacijos apie kampaniją, kibernetinio saugumo įmonė „Arctic Wolf“ paskelbė ataskaitą su atitinkamais kompromiso (TOC) rodikliais, sakydama, kad pažeidžiami „Fortinet FortiGate“ ugniasienės su interneto veikiančiomis valdymo sąsajomis buvo užpultos bent jau nuo lapkričio vidurio.
„Kampanija apėmė neteisėtus administracinius ugniasienių valdymo sąsajas, naujų paskyrų sukūrimą, SSL VPN autentifikavimą per tas paskyras ir įvairius kitus konfigūracijos pakeitimus“, – teigė „Arctic Wolf Labs“.
„Nors pradinis prieigos vektorius nėra galutinai patvirtintas, labai tikėtina, kad nulinės dienos pažeidžiamumas yra labai tikėtinas. Organizacijos turėtų kuo greičiau išjungti ugniasienės valdymo prieigą prie viešųjų sąsajų.”
„Arctic Wolf Labs“ taip pat pateikė šį CVE-2024-55591 masinio išaiškinimo atakų laiko juostą, sakydama, kad joje yra keturios unikalios fazės:
- Pažeidžiamumo nuskaitymas (2024 m. Lapkričio 16 d. – 2024 m. Lapkričio 23 d.)
- Žiūrėjimas (2024 m. Lapkričio 22 d. – 2024 m. Lapkričio 27 d.)
- SSL VPN konfigūracija (2024 m. Gruodžio 4 d. – 2024 m. Gruodžio 7 d.)
- Šoninis judėjimas (2024 m. Gruodžio 16 d. – 2024 m. Gruodžio 27 d.)
„Atsižvelgiant į subtilius„ Tradecraft “ir„ Infrastructure “skirtumus tarp įsibrovimų, įmanoma, kad šioje kampanijoje galėjo dalyvauti keli asmenys ar grupės, tačiau„ JSconsole “naudojimas buvo bendra gija“, – pridūrė jis.
„Arctic Wolf Labs“ pridūrė, kad ji pranešė „Fortinet“ apie išpuolius gruodžio 12 d. Ir po penkių dienų sulaukė patvirtinimo iš bendrovės produktų saugumo incidentų reagavimo komandos (PSIRT), kad veikla buvo žinoma ir jau tiriama.
„Fortinet“ patarė administratoriams, kurie negali iš karto diegti saugos atnaujinimų, kad apsaugotų pažeidžiamas ugniasienes, kad išjungtų HTTP/HTTPS administracinę sąsają arba apribotų IP adresus, kurie gali jį pasiekti per vietinę politiką.
„Bleepingcomputer“ susisiekė su „Fortinet“ atstovu, kad galėtų pakomentuoti, tačiau negirdėjo, kad paskelbimo metu negirdėjo.
