Fortinet: rilevato sfruttamento in rete della CVE-2024-55591 (AL08/250114/CSIRT-ITA)

Sintesi

Ricercatori di sicurezza hanno recentemente rilevato una campagna di sfruttamento della vulnerabilità CVE-2024-55591, con gravita “critica”, relativa a firewall Fortinet, che prende di mira le interfacce di gestione esposte pubblicamente su internet di FortiOS e FortiProxy.

Note: un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-55591 risulterebbe disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (78.97)

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato una campagna di sfruttamento della vulnerabilità CVE-2024-55591, con gravita “critica”, relativa a firewall Fortinet, che prende di mira le interfacce di gestione esposte pubblicamente su internet di FortiOS e FortiProxy.

Tale vulnerabilità – con score CVSS v3 pari a 9.6 – di tipo “Authentication Bypass”, potrebbe consentire agli attori malevoli di ottenere:

• accesso ai dispositivi di tipo amministrativo
• capacità di creare nuovi account
• autenticazione tramite SSL VPN
• accesso e modifica delle impostazioni di configurazione dei dispositivi
• esfiltrazione di credenziali Active Directory tramite DCSync

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Tipologia

Authentication Bypass

Prodotti e/o versioni affette

• FortiProxy 7.2.x, versione 7.2.12 e precedenti
• FortiProxy 7.0.x, versione 7.0.19 e precedenti
• FortiOS 7.0.x, versione 7.0.16 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza presente nella sezione Riferimenti.

Inoltre si sottolinea l’importanza di inibire la possibilità di accedere alle interfacce di gestione di tali dispositivi dalla rete Internet.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)[1] forniti alla sezione “IoC”.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Riferimenti

https://www.fortiguard.com/psirt/FG-IR-24-535

https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.