Fortinet waarschuwt voor actief misbruikt lek in FortiOS en FortiProxy

[Captain Kirk]

Fortinet waarschuwt organisaties voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen. Fortinet heeft updates uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid (CVE-2024-55591) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. CVE-2024-55591 betreft een 'authentication bypass'. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module 'super-admin privileges' krijgen. Fortinet adviseert klanten om de update te installeren. Als workaround wordt aangeraden om de HTTP/HTTPS admin-interface uit te schakelen of toegang hiertoe te beperken. Fortinet heeft nog geen details over de aanvallen gegeven.

Fortinet geeft wel verschillende Indicators of Compromise, zoals door de aanvallers gebruikte ip-adressen. Daarmee kunnen organisaties kijken of ze zijn gecompromitteerd. Een aantal van de ip-adressen die Fortinet noemt verschenen vorige week in een blogposting van securitybedrijf Arctic Wolf. Dat schrijft over een campagne gericht tegen Fortinet FortiGate-firewalls die sinds halverwege november plaatsvindt. Arctic Wolf zegt de gebruikte aanvalsvector niet te kennen, maar stelt dat grootschalig misbruik van een zerodaylek waarschijnlijk is.

 

bron: https://www.security.nl

[Captain Kirk]

Configuraties en vpn-wachtwoorden 15.000 Fortinet-firewalls online gezet

 

Op internet zijn de configuratiegegevens en vpn-wachtwoorden van 15.000 Fortinet FortiGate-firewalls gepubliceerd, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Het gaat om ip-adressen van firewalls, alsmede een configuratiedump en een lijst met wachtwoorden van vpn-gebruikers. Naast firewalling bieden de FortiGate-apparaten ook vpn-functionaliteit.

Volgens Beaumont zijn de gegevens al in 2022 verzameld door middel van een kwetsbaarheid aangeduid als CVE-2022–40684. Fortinet kwam in oktober 2022 met beveiligingsupdates voor het probleem. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzocht Fortinet klanten om de beveiligingsupdate meteen te installeren.

Een aantal dagen na het uitkomen van de update waarschuwde Fortinet voor actief misbruik van de kwetsbaarheid. Niet veel later werd door securitybedrijven grootschalig misbruik van de kwetsbaarheid gemeld. Veel van de firewalls die in het overzicht staan vermeld zijn nog steeds online en bereikbaar, laat Beaumont op Mastodon weten. De onderzoeker voegt toe dat zelfs wanneer de firewall inmiddels gepatcht is, aanvallers ook over configuratiegegevens kunnen beschikken, zoals firewall rules. Beaumont is van plan om een lijst met ip-adressen te delen zodat beheerders van de betreffende firewalls actie kunnen ondernemen. In het verleden hebben aanvallers vaker gegevens van kwetsbare en gecompromitteerde Fortinet-apparaten online gepubliceerd.

 

bron: https://www.security.nl