CSIRT Toscana Rilevato sfruttamento attivo di vulnerabilità già note in prodotti Fortinet (BL01/250412/CSIRT-ITA)
Data:
12 Aprile 2025 13:19
Sintesi
Il 10 aprile 2025, Fortinet ha pubblicato un post sul proprio blog segnalando l’uso di una nuova tecnica di post-sfruttamento utilizzata da attori malevoli per compromettere dispositivi FortiGate.
Prodotti e versioni interessate
FortiOS
- versioni 7.0.x, precedenti alla 7.0.17
- versioni 7.2.x, precedenti alla 7.2.11
- versioni 7.4.x, precedenti alla 7.4.7
- versioni 7.6.x, precedenti alla 7.6.2
- versioni precedenti alla 6.4.16
Il vendor afferma che i clienti che non hanno mai attivato la funzionalità di SSL-VPN non sono interessati.
Descrizione
Il 10 aprile 2025, Fortinet ha pubblicato un post sul proprio blog segnalando l’uso di una nuova tecnica di post-sfruttamento utilizzata da attori malevoli per compromettere dispositivi FortiGate. Questa tecnica sfrutta vulnerabilità già note — CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 — e si basa sull’inserimento di un symbolic link all’interno del file system del dispositivo compromesso.
Una volta presente, questo file malevolo può consentire l’accesso in sola lettura a numerosi file interni, inclusi quelli di configurazione, mettendo così a rischio la riservatezza del sistema interessato.
Il vendor ha provveduto a:
- creare un’opportuna firma AV/IPS per rilevare e ripulire il file malevolo;
- modificare le ultime versioni per rilevare e rimuovere il symbolic link e garantire che SSL-VPN fornisca solo i file previsti;
- contattare i propri clienti
Azioni di mitigazione
Questo CSIRT raccomanda di leggere attentamente il bollettino Fortinet, riportato nella sezione Riferimenti, e di:
- eseguire l’aggiornamento alle versioni FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 per rimuovere il symbolic link dannoso ed impedirne una nuova distribuzione;
- controllare la configurazione di tutti i dispositivi interessati;
- resettare le credenziali potenzialmente esposte.
Per le versioni FortiOS 7.4, 7.2, 7.0, 6.4 il symbolic link è stato contrassegnato come dannoso dal motore AV/IPS (previo aggiornamento appropriato), pertanto verrebbe automaticamente rimosso se in possesso di opportuna licenza.
In linea con quanto indicato dal vendor, tutte le configurazioni sono da considerarsi come potenzialmente compromesse e, pertanto, per ripristinarle occorre seguire le indicazioni consigliate nel blog Fortinet riportato nella sezione Riferimenti.
Riferimenti
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
- https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
- https://www.acn.gov.it/portale/w/rilevata-vulnerabilita-nei-firewall-fortinet-al01/230612/csirt-ita-aggiornamento
- https://www.acn.gov.it/portale/w/fortinet-aggiornamenti-di-sicurezza-fortios-per-firewall-fortigate-al06/240208/csirt-ita-aggiornamento
- https://www.acn.gov.it/portale/w/risolta-vulnerabilita-critica-su-fortios-al01/221213/csirt-ita-
CVE
| CVE-ID | ||
|---|---|---|
| CVE-2022-42475 | CVE-2023-27997 | CVE-2024-21762 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 12-04-2025 | 12/04/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link