Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczny błąd 0day w Fortigate. Jest w trakcie exploitacji, przejmują dostępy do VPNa w firmach.
Luka umożliwia pełne przejęcie urządzenia z poziomu Internetu. Tj. zdobycie uprawnień super-admina.
Podatność jest wykorzystywana w realnych atakach, najprawdopodobniej od okolic grudnia 2024. Nie wiadomo dokładnie jaka grupa odpowiedzialna jest za ataki. W ramach ataków wykonywane są takie operacje jak:
- tworzenie nowych kont admina
- rekonfiguracje firewalla
- tunelowanie ruchu atakujących do infekowanej sieci lokalnej
Podatne są FortiOS (7.0.0 do 7.0.16) oraz FortiProxy (linia 7.0.x oraz 7.2.x). Podatność CVE-2024-55591 została przez Fortinet oznaczona jako krytyczna (CVSS score 9.6/10) i opisana jako „Execute unauthorized code or commands”.
Od strony technicznej to ominięcie uwierzytelnienia (Authentication Bypass) umożliwiające dostęp do super-admina (przy założeniu, że atakujący ma dostęp do ekranu logowania panelu administracyjnego urządzenia).
Rekomendacje:
- Zaaplikujcie łatki
- Nie wystawiajcie webowego panelu administracyjnego urządzeń do Internetu
- Jeśli udostępnialiście taki panel do Internetu i mieliście wersje firmware jak opisane powyżej – warto zrealizować analizę powłamaniową
~ms
Czy kompetentny z Sekuraka mógłby wypowiedzieć się szerzej o atakach na takie urządzenia ? Dotychczas uważałem, że zakup takich urządzeń to naturalny etap w rozwoju firmy, jednak ilość krytycznych luk na przestrzeni ostatnich dwóch lat, u mnie sprawia wrażenie, że takie urządzenie jest stwarza więcej problemów i zagrożeń niż pożytku. Czy te urządzenia w ogóle służą zwiększeniu bezpieczeństwa czy bardziej uproszczeniu zarządzania infrastrukturą ? Jakie jest wasze zdanie ?
Nie pierwsza ich wpadka w ostatnim czasie. Tak myślę że może lepiej czasem lepsze by było coś open source np taki OpenVPN… Nie dość że za darmo to i tak krytycznych wpadek chyba ostatnio nie mieli
Openvpn to nie UTM ids i pierdylion funkcji
Kasy kosztują sporo a czasem wydaje się że MT albo router Asus z górnej półki lepiej dzierży.
Pracuje na podobnych takich urządzeniach od 20 lat. Nie wyobrażam sobie zabezpieczać sieć firmową bez takich urządzeń. Z drugiej strony nikt nigdy nie da ci żadnej gwarancji że ich urządzenie nie ma lub nie będzie miało żadnej podatności.
Jeśli do takiego urządzenia nie jest dołączony sprawny i doświadczony admin , to faktycznie służą one jedynie do zarabiania na złudnym poczuciu bezpieczeństwa.
to prawda, adminów bez doświadczenia, którzy szybko dostają awanse na lewo i prawo jest coraz więcej w firmach, co ma wpływ na możliwości wykorzystania zabezpieczeń