Af Eskil Sørensen, 20/01/25
Der er offentliggjort en ny kritisk sårbarhed i Fortinet-produkter, som er bekræftet under aktiv udnyttelse.
Det skriver Security Week.
Sårbarheden findes i produkterne FortiOS og FortiProxy. Den har id’et CVE-2024-55591 og den gør det muligt for angribere at opnå såkaldt super-administratorrettigheder via særligt udformede forespørgsler til systemets Node.js websocket-modul. Ifølge Fortinet kan sårbarheden udnyttes til fuldstændig kompromittering af berørte systemer.
Sårbarheden har en CVSS-score på 9.8, hvilket skyldes kombinationen af høj tilgængelighed for angribere og alvorlige virkninger som følge af en udnyttelse.
De berørte systemer er :
- Kernestyresystemet i Fortinet FortiGate-firewalls: FortiOS før version 7.2.5
- Webproxy-løsningen fra Fortinet: FortiProxy før version 7.2.5.
Organisationer opfordres til omgående at opgradere.
CVE-2024-55591 kan udnyttes via fjernadgang, hvor angriberen sender særligt manipulerede HTTP- eller HTTPS-anmodninger til de berørte systemer. Udnyttelsen skal efter det oplyste ikke kræve avancerede værktøjer. Det fremgår også, at sårbarheden er blevet aktivt udnyttet siden mindst november 2024, hvilket betyder, at organisationer allerede kan være kompromitteret uden deres viden.
For at beskytte mod sårbarheden anbefaler Fortinet følgende tiltag:
- Opdater software: Installer de seneste versioner af FortiOS og FortiProxy, som adresserer sårbarheden.
- Begræns adgang: Sørg for, at kun autoriserede enheder kan kommunikere med Fortinet-enheder.
- Overvågning: Aktivér avanceret logning og overvågning for at identificere mistænkelig aktivitet.
- Segmenter netværket: Isolér kritiske systemer for at minimere potentiel skade.
Links:
https://www.securityweek.com/fortinet-confirms-new-zero-day-exploitation/