Nelle scorse settimane, e come già accennato nella nostra precedente consulenza.
https://insights.integrity360.com/threat-advisories/fortinet-critical-forticloud-sso-login-auth-bypass-flaw
- i team di sicurezza si sono occupati di una gravefalla di bypass dell'autenticazioneche interessa i firewall FortiGate di Fortinet e i prodotti correlati. Il problema deriva dal modo in cuivengono gestitiFortiCloud e ilSingle SignOn (SSO)basato su SAML, consentendo agli aggressori di eludere completamente l'autenticazione e ottenere l'accesso amministrativo senza credenziali valide.
A rendere la situazione ancora più preoccupante è il fatto che diversi ricercatori e amministratori hanno segnalato compromissioni riuscite su sistemi che erano stati presumibilmente patchati. In altre parole, alcuni rapporti su FortiOS suggeriscono che i recenti aggiornamenti non hanno mitigato completamente lo sfruttamento...
Al momento non è del tutto chiaro quali versioni siano interessate e quali no. Tuttavia, alcuni post riportano di aver riscontrato uno sfruttamento attivo nella versione 7.4.9 di FortiOS. Poiché questa versione è stata considerata come una versione patchata della vulnerabilità, è probabile che anche altre versioni siano vulnerabili.
Si consiglia di rimanere aggiornati sul PSIRT di Fortinet e sugli annunci di Fortinet, in quanto è probabile che questo problema venga presto affrontato.
Se non ne avete assolutamente bisogno, disabilitatelo. È il principale vettore di attacco.
config sistema globale
set admin-forticloud-sso-login disable
fine
Limitare l'accesso dell'amministratore a IP interni fidati o a una rete di gestione dedicata. Evitare di esporre l'interfaccia di amministrazione a Internet.
Verificare la presenza di elementi quali:
Se si nota qualcosa di sospetto, considerare il dispositivo come compromesso.
Fortinet dovrebbe rilasciare ulteriori patch. Tenete d'occhio gli avvisi e siate pronti a distribuire rapidamente gli aggiornamenti.
Dato il numero di incidenti confermati, è più sicuro presumere che il vostro dispositivo possa essere stato colpito e indagare di conseguenza.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti che la vostra organizzazione deve affrontare, contattate il vostro account manager o, in alternativa, mettetevi in contatto per scoprire come potete proteggere la vostra organizzazione.