V posledních týdnech se objevily útoky, které využívají novou zranitelnost typu 0-day v systémech FortiOS a FortiProxy. Tato zranitelnost, označovaná jako CVE-2024-55591, ovlivňuje verze FortiOS 7.0.0 až 7.0.16, FortiProxy 7.0.0 až 7.0.19 a FortiProxy 7.2.0 až 7.2.12. Úspěšné využití této zranitelnosti umožňuje útočníkům získat práva superadministrátora zasíláním požadavků na modul websocket Node.js.

Fortinet uvedl, že útočníci, kteří tuto zranitelnost nyní využívají, vytvářejí náhodně generované administrátorské nebo místní uživatele na kompromitovaných zařízeních. Tito uživatelé jsou přidáváni do existujících SSL VPN uživatelských skupin, mění nastavení firewallu a dalších politik, a pak se připojují k SSL VPN pomocí těchto falešně vytvořených účtů, čímž získávají přístup do interní sítě.

Podle zprávy společnosti Arctic Wolf, probíhá tento útok už od poloviny listopadu 2024. Útoky cílí na firewally FortiGate, jejichž administrační rozhraní jsou přístupná z internetu. Zpráva také uvádí, že k útokům docházelo prostřednictvím neoprávněných administrátorských přístupů, vytváření nových účtů, autentifikace do SSL VPN a dalších změn konfigurace.

I když Fortinet neprozradil podrobnosti o kampani, Arctic Wolf tvrdí, že masivní zneužívání této zranitelnosti je velice pravděpodobné. Zakažte přístup k administračnímu rozhraní na veřejných rozhraních. Fortinet doporučuje jako dočasné opatření deaktivovat HTTP/HTTPS administrativní rozhraní nebo omezit přístup k těmto rozhraním pomocí lokálních politik.

V rámci těchto útoku bylo použito několik IP adres, které se objevily v log záznamech: 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.8.8 a 8.8.4.4. Tyto adresy mohou být indikátory, že zařízení byla cílem útoku. Pro detekci zneužití této zranitelnosti doporučují obě společnosti zkontrolovat logy, kde se objevují vstupy s náhodně generovanými IP adresami a uživatelskými jmény.

Ukázka:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

Fortinet rovněž vydal bezpečnostní opravy pro jinou kritickou zranitelnost, CVE-2023-37936, která umožňuje vzdáleným útočníkům spustit neoprávněný kód prostřednictvím upravených kryptografických požadavků. Kromě toho v prosinci 2024 společnost Volexity oznámila, že čínští hackeři využívají vlastní nástroj k post-exploitačním útokům na FortiClient pro Windows.

Tento incident je varováním pro organizace, aby věnovaly zvýšenou pozornost bezpečnosti svých firewallů, pravidelně aktualizovaly zařízení a omezovaly veřejný přístup k administrativním rozhraním, dokud nebude zranitelnost plně opravena.