SK-CERT Bezpečnostné varovanie V20250116-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| Fortinet FortiOS a FortiProxy – aktívne zneužívaná kritická bezpečnostná zraniteľnosť |
| Popis |
| Spoločnosť Fortinet vydala bezpečnostné aktualizácie na produkty FortiOS a FortiProxy, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-55591 spočíva v nedostatočnej implementácii mechanizmov autentifikácie a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky získať neoprávnený prístup do systému s oprávnením používateľa super-admin s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Bezpečnostná zraniteľnosť zasahuje produkty FortiGate, ktoré majú rozhranie na správu zariadenia voľne prístupné z internetu. Bezpečnostná zraniteľnosť je minimálne od 16.11.2024 zneužívaná útočníkmi. |
| Dátum prvého zverejnenia varovania |
| 14.1.2025 |
| CVE |
| CVE-2024-55591 |
| IOC |
| 8.8.4[.]4 (Cieľová IP) 2.2.2[.]2 (Cieľová IP) 157.245.3[.]251 137.184.65[.]71 Záznamy v logoch: type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole" Following admin creation log with seemingly randomly generated user name and source IP: type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep" Podvrhnuté IP adresy v logoch: 1.1.1[.]1 127.0.0[.]1 2.2.2[.]2 8.8.8[.]8 8.8.4[.]4 Vytvorenie lokálneho používateľa alebo používateľa s oprávnením administrátora s náhodne generovaným menom, ako napr: Gujhmk, Ed8x4k, G0xgey, Pvnw81, Alg7c4, Ypda8a, Kmi8p4, 1a2n6t, 8ah1t6, M4ix9f.. IP adresy: 45.55.158[.]47 87.249.138[.]47 155.133.4[.]175 37.19.196[.]65 149.22.94[.]37 |
| Zasiahnuté systémy |
| FortiOS vo verzii staršej ako 7.0.17 FortiProxy vo verzii staršej ako 7.2.13 FortiProxy vo verzii staršej ako 7.0.20 |
| Následky |
| Eskalácia privilégií Úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pre dočasnú mitigáciu výrobca odporúča zakázať administratívne rozhranie HTTP/HTTPS alebo obmedziť prístup k rozhraniu iba dôveryhodným lokálnym používateľom. Úplné pokyny sú dostupné na webovej adrese výrobcu: https://www.fortiguard.com/psirt/FG-IR-24-535 Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. |
« Späť na zoznam
