Under Attack?
Una vulnerabilità di Bypass di autenticazione tramite percorso o canale alternativo [CWE-288] che interessa FortiOS e FortiProxy potrebbe consentire a un attaccante remoto di ottenere privilegi di super-amministratore tramite richieste appositamente create al modulo WebSocket di Node.js.
Tracciata come CVE-2024-55591, questa vulnerabilità di "bypass di autenticazione" ha un punteggio CVSSv3 di 9.6, classificandola come critica. FortiOS è il sistema operativo per i prodotti Fortinet, comprese le VPN SSL e i firewall di nuova generazione (NGFW), mentre FortiProxy è un gateway web sicuro con funzionalità avanzate di filtraggio e ispezione.
Va considerato che i rapporti indicano che questa vulnerabilità è attivamente sfruttata.
Versioni interessate
| Versione | Interessata | Soluzione |
|---|---|---|
| FortiOS 7.6 | Non interessata | Non applicabile |
| FortiOS 7.4 | Non interessata | Non applicabile |
| FortiOS 7.2 | Non interessata | Non applicabile |
| FortiOS 7.0 | Da 7.0.0 a 7.0.16 | Aggiornare alla versione 7.0.17 o successiva |
| FortiOS 6.4 | Non interessata | Non applicabile |
| FortiProxy 7.6 | Non interessata | Non applicabile |
| FortiProxy 7.4 | Non interessata | Non applicabile |
| FortiProxy 7.2 | Da 7.2.0 a 7.2.12 | Aggiornare alla versione 7.2.13 o successiva |
| FortiProxy 7.0 | Da 7.0.0 a 7.0.19 | Aggiornare alla versione 7.0.20 o successiva |
| FortiProxy 2.0 | Non interessata | Non applicabile |
Raccomandazioni
Si consiglia a chi utilizza versioni interessate di FortiOS e FortiProxy di aggiornare immediatamente alla versione corretta seguendo il percorso di aggiornamento consigliato utilizzando lo strumento Fortinet:
https://docs.fortinet.com/upgrade-tool
Inoltre, si raccomanda alle organizzazioni di effettuare una valutazione di compromissione cercando indicatori di compromissione indicati in questo avviso.
Soluzioni temporanee
Workaround temporaneo 1:
Disabilitare l’interfaccia amministrativa HTTP/HTTPS.
Workaround temporaneo 2:
Limitare gli indirizzi IP che possono accedere all’interfaccia amministrativa tramite le politiche locali:
config firewall address
edit "my_allowed_addresses"
set subnet [inserire subnet]
end
Creare quindi un gruppo di indirizzi:
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
Creare una politica locale per limitare l'accesso solo al gruppo predefinito sull’interfaccia di gestione (es: port1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
Se si utilizzano porte non predefinite, creare oggetti di servizio appropriati per l'accesso amministrativo GUI:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next
edit GUI_HTTP
set tcp-portrange 80
end
Utilizzare questi oggetti al posto di "HTTPS HTTP" nella politica locale 1 e 2 di cui sopra.
Nota: la funzione trusthost ha la stessa funzione delle politiche locali sopra indicate solo se tutti gli utenti GUI sono configurati con essa. Pertanto, le politiche locali sopra sono il metodo preferito.
Contattare l'assistenza clienti Fortinet per ulteriore supporto.
Indicatori di compromissione
Voci di registro e operazioni eseguite dagli attaccanti:
Fortinet ha fornito le seguenti voci di registro come potenziali indicatori di compromissione:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Nota: Fortinet ha precisato che sn e cfgtid non sono rilevanti per l'attacco.
Altre operazioni effettuate dagli attaccanti:
- Creazione di un account amministrativo sul dispositivo con un nome utente casuale (vedi dettagli sotto).
- Creazione di un account utente locale sul dispositivo con un nome utente casuale (vedi dettagli sotto).
- Creazione di un gruppo di utenti o aggiunta dell'utente locale creato a un gruppo di utenti SSLVPN esistente.
- Modifica di altre impostazioni (politiche firewall, indirizzi firewall, ecc.).
- Accesso alla SSLVPN utilizzando gli utenti locali aggiunti per ottenere un tunnel verso la rete interna.
Indirizzi IP falsificati:
Gli attaccanti sono stati osservati mentre falsificavano l'indirizzo IP di origine e destinazione durante le sessioni jsconsole. Questi indirizzi IP non sono tipici delle attività della jsconsole. Gli IP sono:
- 1.1.1.1
- 127.0.0.1
- 2.2.2.2
- 8.8.8.8
- 8.8.4.4
Nota: Gli indirizzi IP sopra indicati sono sotto il controllo degli attaccanti e potrebbero essere sostituiti con qualsiasi altro indirizzo IP.
Indirizzi IP utilizzati dagli attaccanti:
- 45.55.158.47 (il più comune)
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
Account amministrativi o locali generati dagli attaccanti:
Gli attaccanti hanno generato account amministrativi e locali con nomi utente alfanumerici di 6 caratteri. Alcuni esempi:
- Gujhmk
- Ed8x4k
- G0xgey
- Pvnw8
Aggiornamenti sulle minacce:
Per ulteriori informazioni e aggiornamenti su questa vulnerabilità, si consiglia di monitorare la pagina del Product Security Incident Response Team di Fortinet:
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
Se siete preoccupati per una delle minacce indicate in questo bollettino o avete bisogno di assistenza per proteggere la vostra organizzazione, contattate il vostro account manager o visitate la pagina di supporto per scoprire come proteggere la vostra organizzazione.
.png?width=398&height=65&name=3-ISO-Logos-(1).png)
