Специалист по межсетевым экранам устранил уязвимость безопасности, которая стала причиной серии атак, зарегистрированных в начале этого месяца и поставивших под угрозу продукты FortiOS и FortiProxy, доступные из общедоступного Интернета.

Компания Fortinet устранила активно эксплуатируемую уязвимость обхода аутентификации нулевого дня, затрагивающую ее продукты FortiOS и FortiProxy. Злоумышленники использовали ее для получения суперадминистративного доступа к устройствам с целью осуществления мошеннических действий, включая взлом корпоративных сетей.

Согласно рекомендациям по безопасности FortiGuard Labs, опубликованным на прошлой неделе, компания Fortinet охарактеризовала уязвимость, оцененную как критическую и отслеживаемую как CVE-2024-55591 (CVSS 9.6), как «обход аутентификации с использованием уязвимости альтернативного пути или канала», которая «может позволить удаленному злоумышленнику получить привилегии суперадминистратора с помощью специально созданных запросов к модулю веб-сокета Node.js».

Fortinet наблюдала, как злоумышленники выполняли различные вредоносные операции, эксплуатируя уязвимость. Эти действия включали: создание учетной записи администратора на устройстве со случайным именем пользователя; создание локальной учетной записи пользователя на устройстве со случайным именем пользователя; создание группы пользователей или добавление локального пользователя в существующую группу пользователей SSL VPN; добавление и/или изменение других настроек, включая политику брандмауэра и/или адрес брандмауэра; и вход в SSL VPN для получения туннеля к внутренней сети.

Fortinet рекомендовала клиентам, использующим затронутые продукты, следовать рекомендуемому пути обновления на своем веб-сайте, чтобы смягчить уязвимость. Она также предложила варианты обхода в своих рекомендациях.

Первые признаки эксплуатации уязвимости нулевого дня Fortinet

Первые признаки того, что что-то не так, появились в начале этого месяца, когда исследователи Arctic Wolf обнаружили , что уязвимость нулевого дня , вероятно, была причиной серии недавних атак на устройства межсетевого экрана FortiGate с интерфейсами управления, открытыми в общедоступном Интернете. Злоумышленники нацелились на устройства, чтобы создать несанкционированные административные входы и внести другие изменения в конфигурацию, создать новые учетные записи и выполнить аутентификацию SSL VPN.

Fortinet тихо проинформировала своих клиентов о проблеме, прежде чем раскрыть исправление и масштабы ситуации в конце прошлой недели; это скромное раскрытие информации стало причиной того, как Arctic Wolf узнала об этом, согласно сообщению в блоге watchTowr Labs, в котором анализируется уязвимость, опубликованному 27 января. Однако исследователи безопасности пока не знали точно, в чем заключалась уязвимость и что подразумевала ее эксплуатация.

Теперь это стало яснее. Уязвимость находилась в функциональности jsconsole, которая является функцией графического пользовательского интерфейса (GUI) для выполнения команд командной строки (CLI) внутри интерфейса управления FortiOS, согласно watchTowr Labs. «В частности, уязвимость этой функциональности позволяла злоумышленникам добавлять новую учетную запись администратора», — говорится в сообщении.

Jsconsole — это веб-консоль на основе WebSocket для CLI уязвимых устройств Fortinet. «Этот CLI всемогущ, поскольку он фактически совпадает с фактически предоставленным CLI, который используется законными администраторами для настройки устройства», — утверждает watchTowr Labs. Поэтому, если злоумышленник получает доступ к веб-консоли, само устройство следует считать скомпрометированным.

Исследователи глубоко изучили уязвимость и обнаружили, что на самом деле это цепочка проблем, объединенных в одну критическую уязвимость, которая позволяла злоумышленникам выполнить четыре ключевых шага для получения суперадминистративного доступа.

Эти шаги включают: создание соединения WebSocket из предварительно аутентифицированного HTTP-запроса; использование специального параметра local_access_token для пропуска проверок сеанса; использование состояния гонки в WebSocket Telnet CLI для отправки аутентификации до того, как это сделает сервер; и выбор профиля доступа, который злоумышленник хочет использовать, что в случае с экспериментальной концепцией исследователей должно было стать суперадминистратором.

Смягчение и защита от CVE-2024-55591

Устройства Fortinet являются популярной целью для злоумышленников, поскольку уязвимости, обнаруженные в продуктах, часто широко используются для взлома не только устройств, но и служат точкой входа для атак на корпоративные сети.

Организациям, использующим устройства, затронутые уязвимостью, рекомендуется следовать соответствующему пути обновления или применить обходной путь, предоставленный Fortinet.

Fortinet также отметила в своем сообщении, что злоумышленнику обычно необходимо знать имя пользователя учетной записи администратора, чтобы выполнить атаку и войти в CLE для эксплуатации уязвимости. «Поэтому наличие нестандартного и неугадываемого имени пользователя для учетных записей администратора действительно обеспечивает некоторую защиту и, в целом, является лучшей практикой», — говорится в сообщении.

Однако компания добавила, что поскольку целевой WebSocket сам по себе не является точкой аутентификации, у злоумышленников все равно есть возможность подобрать имя пользователя методом подбора, чтобы воспользоваться уязвимостью.