Questo sito utilizza cookie tecnici, analytics e di terze parti. Proseguendo nella navigazione accetti l’utilizzo dei cookie.
Cookie policy

CSIRT Toscana

Fortinet: rilevato sfruttamento in rete della CVE-2024-55591 (AL08/250114/CSIRT-ITA)

Data:
16 Gennaio 2025 16:25

Sintesi

Ricercatori di sicurezza hanno recentemente rilevato una campagna di sfruttamento della vulnerabilità CVE-2024-55591, con gravita “critica”, relativa a firewall Fortinet, che prende di mira le interfacce di gestione esposte pubblicamente su internet di FortiOS e FortiProxy.
Note: un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-55591 risulterebbe disponibile in rete.

Impatto sistemico

Critico (78.97)

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato una campagna di sfruttamento della vulnerabilità CVE-2024-55591, con gravita “critica”, relativa a firewall Fortinet, che prende di mira le interfacce di gestione esposte pubblicamente su internet di FortiOS e FortiProxy.

Tale vulnerabilità – con score CVSS v3 pari a 9.6 – di tipo “Authentication Bypass”, potrebbe consentire agli attori malevoli di ottenere:

  • accesso ai dispositivi di tipo amministrativo
  • capacità di creare nuovi account
  • autenticazione tramite SSL VPN
  • accesso e modifica delle impostazioni di configurazione dei dispositivi
  • esfiltrazione di credenziali Active Directory tramite DCSync

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Tipologia

Authentication Bypass

Prodotti e/o versioni affette

  • FortiProxy 7.2.x, versione 7.2.12 e precedenti
  • FortiProxy 7.0.x, versione 7.0.19 e precedenti
  • FortiOS 7.0.x, versione 7.0.16 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza presente nella sezione Riferimenti.

Inoltre si sottolinea l’importanza di inibire la possibilità di accedere alle interfacce di gestione di tali dispositivi dalla rete Internet.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)[1] forniti alla sezione “IoC”.

 

Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

CVE

CVE-ID
CVE-2024-55591

Indicatori di compromissione

Tipologia Indicatore
ip-src 149.22.94.37
ip-src 23.27.140.65
ip-src 37.19.196.65
ip-src 45.55.158.47
ip-src 137.184.65.71
ip-src 155.133.4.175
ip-src 157.245.3.251
ip-src 167.71.245.10
ip-src 64.190.113.25
ip-src 66.135.27.178
ip-src 87.249.138.47
ip-src 31.192.107.165

Riferimenti

https://www.fortiguard.com/psirt/FG-IR-24-535
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.