• HD-IT

Pon.-Pt. 08:00 - 18:00 +48 502 491 857

Zagrożenie dla Sieci Firmowych CVE-2024-55591
2025-02-09 By  admin-Lukasz C With  0 Comment
In  Cybersecurity

Krytyczna Luka w Fortinet FortiOS i FortiProxy (CVE-2024-55591)

W styczniu 2025 roku Fortinet ujawnił lukę CVE-2024-55591 w systemach FortiOS i FortiProxy, umożliwiającą atakującym przejęcie pełnych uprawnień administracyjnych. Błąd związany jest z obejściem uwierzytelniania w module WebSocket opartym na Node.js. Eksperci ostrzegają, że luka jest aktywnie wykorzystywana przez cyberprzestępców od listopada 2024 roku, a tysiące urządzeń pozostaje podatnych na ataki.

Jak działa atak?

Atakujący wykorzystują słabości w weryfikacji nagłówków HTTP i sesji, co pozwala im podszyć się pod lokalnego administratora i uzyskać dostęp do krytycznych funkcji systemu. Proces ten obejmuje:

  1. Podszywanie się pod lokalny ruch sieciowy – atakujący modyfikują nagłówek HTTP, dodając wpis „Forwarded: for="127.0.0.1"”, co powoduje, że system traktuje ich jako lokalnych użytkowników.
  2. Fałszowanie sesji administracyjnej – nieprawidłowa walidacja tokena „local_access_token” pozwala na przejęcie sesji administratora.
  3. Nieautoryzowany dostęp – po uzyskaniu dostępu atakujący mogą wykonywać polecenia systemowe, zmieniać konfigurację firewalli oraz ustanawiać złośliwe połączenia VPN.

Zagrożenie dla firm

Atakujący mogą:

  • Przejąć kontrolę nad urządzeniami sieciowymi,
  • Tworzyć i modyfikować konta administratorów,
  • Zmieniać reguły zapory sieciowej,
  • Wykorzystywać tunelowanie VPN do infiltracji wewnętrznych sieci organizacji.

Wykrywanie ataku

Organizacje powinny monitorować swoje systemy pod kątem:

  • Nietypowych logowań administracyjnych, zwłaszcza z interfejsu „jsconsole”,
  • Losowo generowanych nazw kont administratorów (np. „Tr9fKd”),
  • Podejrzanych żądań HTTP POST do „/api/v2/websocket/” zawierających nietypowe nagłówki,
  • Połączeń z adresów IP powiązanych z wcześniejszymi atakami (np. 45.55.158[.]47, 87.249.138[.]47).

Zalecane działania

  1. Natychmiastowa aktualizacja oprogramowania:
    • FortiOS 7.0: aktualizacja do wersji 7.0.17 lub nowszej
    • FortiProxy 7.2: aktualizacja do wersji 7.2.13 lub nowszej
    • FortiProxy 7.0: aktualizacja do wersji 7.0.20 lub nowszej
  2. Monitorowanie aktywności – analiza logów pod kątem podejrzanych działań.
  3. Wdrożenie dodatkowych mechanizmów detekcji – reguły Sigma do wykrywania anomalii w ruchu WebSocket.
  4. Ograniczenie dostępu do interfejsów administracyjnych – zabezpieczenie urządzeń przed nieautoryzowanym logowaniem z zewnętrznych sieci.

CVE-2024-55591 to krytyczna luka w zabezpieczeniach, która umożliwia atakującym przejęcie urządzeń Fortinet i uzyskanie pełnego dostępu administracyjnego. Ataki wykorzystujące tę podatność są aktywnie prowadzone, dlatego organizacje powinny natychmiast wdrożyć dostępne poprawki oraz wzmożyć monitorowanie swoich systemów.

Źródła:

Post Views: 143


Author

admin-Lukasz C



Leave a reply

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *