Уязвимости в FortiOS

Fortinet выпустила бюллетень и подтвердила эксплуатацию злоумышленниками уязвимости CVE-2024-55591 (CVSS 9.6) в FortiOS 7.0.x и FortiProxy 7.0-7.2.  Дефект позволяет атакующим обойти аутентификацию с помощью специальных запросов к модулю websocket фреймворка Node.js и получить привилегии суперадмина. Уязвимость возможно проэксплуатировать, если интерфейс управления доступен из интернета.

Судя по всему, реальная активность по эксплуатации  дефекта описана в этом посте, хотя на момент его публикации бюллетеня ещё не было и номер уязвимости был неизвестен.  Злоумышленники создают дополнительные учётные записи для доступа к SSL VPN, а также многочисленные администраторские и пользовательские аккаунты со случайными именами для закрепления в системе и развития атаки.

 

Для снижения рисков при невозможности патчинга рекомендовано отключить управление по HTTP/HTTPS, либо ограничить доступ к веб-интерфейсу доверенными IP-адресами.

NetSecret