Krytyczny błąd 0day w Fortigate. Jest w trakcie exploitacji, przejmują dostępy do VPNa w firmach.

Luka umożliwia pełne przejęcie urządzenia z poziomu Internetu. Tj. zdobycie uprawnień super-admina.

Podatność jest wykorzystywana w realnych atakach, najprawdopodobniej od okolic grudnia 2024. Nie wiadomo dokładnie jaka grupa odpowiedzialna jest za ataki. W ramach ataków wykonywane są takie operacje jak:

• tworzenie nowych kont admina
• rekonfiguracje firewalla
• tunelowanie ruchu atakujących do infekowanej sieci lokalnej

Podatne są FortiOS (7.0.0 do 7.0.16) oraz FortiProxy (linia 7.0.x oraz 7.2.x). Podatność CVE-2024-55591 została przez Fortinet oznaczona jako krytyczna (CVSS score 9.6/10) i opisana jako „Execute unauthorized code or commands”.

Od strony technicznej to ominięcie uwierzytelnienia (Authentication Bypass) umożliwiające dostęp do super-admina (przy założeniu, że atakujący ma dostęp do ekranu logowania panelu administracyjnego urządzenia).

Rekomendacje:

• Zaaplikujcie łatki
• Nie wystawiajcie webowego panelu administracyjnego urządzeń do Internetu
• Jeśli udostępnialiście taki panel do Internetu i mieliście wersje firmware jak opisane powyżej – warto zrealizować analizę powłamaniową

~ms