Fortinet ogłosił wykrycie poważnej luki bezpieczeństwa w FortiOS i FortiProxy, sklasyfikowanej jako „Ominięcie uwierzytelniania poprzez alternatywną ścieżkę lub kanał” (CWE-288). Luka ta pozwala zdalnym atakującym na uzyskanie uprawnień super-administratora poprzez spreparowane żądania skierowane do modułu websocket Node.js. Raporty wskazują, że luka jest aktywnie wykorzystywana przez cyberprzestępców, co czyni jej załatanie priorytetowym działaniem.
Spis treści:
Wersje FortiOS i FortiProxy podatne na ataki
Fortinet udostępnił szczegółowe informacje na temat wersji podatnych oraz wymaganych aktualizacji. Producent zaleca niezwłoczne przeprowadzenie aktualizacji:| Produkt | Wersja podatna | Rozwiązanie |
| FortiOS | 7.0 (od 7.0.0 do 7.0.16) | Uaktualnij do 7.0.17 lub nowszej |
| FortiProxy | 7.2 (od 7.2.0 do 7.2.12) | Uaktualnij do 7.2.13 lub nowszej |
| FortiProxy | 7.0 (od 7.0.0 do 7.0.19) | Uaktualnij do 7.0.20 lub nowszej |
Wskaźniki Kompromitacji (IoC)
Na podstawie analizy przeprowadzonych ataków zaobserwowano następujące wskaźniki kompromitacji (IoC):
-
Logi udanego logowania administratora:
Przykład logu, w którym atakujący uzyskuje dostęp do urządzenia:type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole" -
Logi tworzenia użytkowników z losowymi nazwami:
Przykład logu, gdzie atakujący tworzy nowego użytkownika:type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep" -
Używane adresy IP:
Atakujący korzystają z następujących adresów IP (generowanych arbitralnie):- 1.1.1.1
- 127.0.0.1
- 2.2.2.2
- 8.8.8.8
- 8.8.4.4
Dodatkowo zaobserwowano wykorzystanie poniższych adresów IP:
- 45.55.158.47 (najczęściej używany)
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
Uwaga: Podane adresy IP są generowane arbitralnie przez atakujących i nie powinny być stosowane jako podstawa do blokowania ruchu.
Działania atakujących
Wykryte operacje przeprowadzane przez cyberprzestępców obejmowały:
- Tworzenie nowych kont administratora z losowymi nazwami użytkowników (np.
Gujhmk,Ed8x4k,Alg7c4). - Tworzenie lokalnych kont użytkowników i przypisywanie ich do grup SSL VPN.
- Zmiany konfiguracji urządzenia, w tym polityki firewall oraz adresów firewall.
- Logowanie się przez SSL VPN w celu uzyskania tunelu do sieci wewnętrznej.
Jak się zabezpieczyć ?
Najważniejszym i zalecanym krokiem jest przeprowadzenie aktualizacji oprogramowania do najnowszej wersji. Wersje oprogramowania podatne na atak powinny być niezwłocznie zaktualizowane, aby zablokować możliwość wykorzystania luki.
Dodatkowo, jako obejście problemu, można zastosować:
- Wyłączenie interfejsu administracyjnego HTTP/HTTPS.
- Ograniczenie dostępu do interfejsu administracyjnego poprzez lokalne polityki adresów IP. Przykład konfiguracji:
config firewall address edit "my_allowed_addresses" set subnet config firewall addrgrp edit "MGMT_IPs" set member "my_allowed_addresses" end config firewall local-in-policy edit 1 set intf port1 set srcaddr "MGMT_IPs" set dstaddr "all" set action accept set service HTTPS HTTP set schedule "always" set status enable next edit 2 set intf "all" set srcaddr "all" set dstaddr "all" set action deny set service HTTPS HTTP set schedule "always" set status enable end - Stosowanie niestandardowych nazw użytkowników administracyjnych, co może utrudnić ataki brute force.
Podsumowanie
Luka w FortiOS i FortiProxy stanowi poważne zagrożenie, które jest aktywnie wykorzystywane przez cyberprzestępców. Fortinet zaleca natychmiastową aktualizację urządzeń do najnowszych wersji. Działania tymczasowe, takie jak ograniczenia dostępu czy zmiana konfiguracji, mogą jedynie częściowo ograniczyć ryzyko, dlatego aktualizacja pozostaje priorytetowym rozwiązaniem. Masz jakieś pytania? Skontaktuj się z nami!
