Fortinet FortiGate Firewall: Attacco da Vulnerabilità Zero-Day

Gli ultimi giorni hanno visto un aumento significativo delle notizie riguardanti un attacco ai firewall FortiGate di Fortinet, causato da una vulnerabilità zero-day. Questo tipo di vulnerabilità rappresenta una minaccia critica per la sicurezza delle reti aziendali, poiché permette agli attaccanti di guadagnare accesso amministrativo senza autenticazione. In questo articolo, esploreremo i dettagli dell’attacco, le misure di protezione raccomandate e alcuni consigli per prevenire future vulnerabilità.

Dettagli dell’Attacco

L’attacco in questione coinvolge una vulnerabilità di bypass dell’autenticazione (CVE-2024-55591) che impatta su versioni specifiche di FortiOS e FortiProxy. Questo bug permette agli attaccanti di guadagnare super-amministratore privilegi facendo richieste maliziose al modulo websocket Node.js.

Gli attaccanti hanno iniziato a sfruttare questa vulnerabilità già a partire da metà novembre 2024, creando utenti amministrativi casuali o locali sui dispositivi compromessi e aggiungendoli a gruppi SSL VPN esistenti o nuovi.

Fasi dell’Attacco

La campagna di attacco, osservata da Arctic Wolf Labs, si è svolta in quattro fasi:

1. Scanning di Vulnerabilità (16 novembre – 23 novembre 2024): Gli attaccanti hanno eseguito scan di vulnerabilità utilizzando il jsconsole command-line interface e spesso utilizzando indirizzi IP spoofati, come ad esempio loopback addresses (e.g., 127.0.0.1) o risolutori DNS pubblici (e.g., 8.8.8.8).
2. Riconoscimento (22 novembre – 27 novembre 2024): Gli attaccanti hanno eseguito riconoscimento facendo cambiamenti di configurazione iniziali per testare se avevano guadagnato privilegi amministrativi.
3. Configurazione SSL VPN (4 dicembre – 7 dicembre 2024): Gli attaccanti hanno configurato l’accesso SSL VPN, creando nuovi account amministrativi super o hijacking quelli esistenti per infiltrarsi ulteriormente nelle reti. Hanno anche modificato le impostazioni del portale VPN o sfruttato account “ospiti” predefiniti per il controllo.

4. Movimento Laterale (16 dicembre – 27 dicembre 2024): Utilizzando l’accesso amministrativo, gli attaccanti hanno utilizzato la tecnica DCSync per estrarre credenziali sfruttando la replica dei domini, permettendo loro di accedere più profondamente alle informazioni conto sensibili.

Misure di Protezione

Per proteggersi da questa vulnerabilità, Fortinet consiglia di:

• Disabilitare l’accesso amministrativo su interfacce gestionali pubbliche. Questo è il passo più critico per prevenire l’accesso malizioso.
• Limitare l’accesso amministrativo tramite politiche local-in. Questo può essere fatto configurando le politiche di accesso per limitare quali indirizzi IP possono raggiungere l’interfaccia amministrativa.
• Aggiornare il firmware. Fortinet ha rilasciato patch per le versioni colpite, quindi è fondamentale aggiornare il firmware ai livelli più recenti.
• Implementare multi-factor authentication. Utilizzare autenticazione a fattore multipla può aggiungere un ulteriore livello di sicurezza ai sistemi.
• Monitorare le reti per attività anomale. Continuare a monitorare le reti per rilevare eventuali attività anomale e reagire tempestivamente.

Consigli per la Prevenzione

1. Monitorare Costantemente le Reti: Assicurarsi di avere un sistema di monitoraggio attivo per rilevare eventuali attività anomale e reagire tempestivamente.
2. Aggiornare Costantemente il Firmware: Mantenere sempre aggiornato il firmware dei dispositivi per assicurarsi di avere le patch più recenti disponibili.
3. Implementare Multi-Factor Authentication: Utilizzare autenticazione a fattore multipla per aggiungere un ulteriore livello di sicurezza ai sistemi.

4. Limitare l’Accesso Amministrativo: Utilizzare politiche di accesso per limitare quali indirizzi IP possono raggiungere l’interfaccia amministrativa.
5. Eseguire Test di Sicurezza Regolari: Eseguire test di sicurezza regolari per identificare e correggere eventuali vulnerabilità prima che vengano sfruttate dagli attaccanti.
6. Formare gli Utenti: Formare gli utenti sulla sicurezza informatica e sulle best practice per prevenire attacchi informatici.

7. Utilizzare Tool di Sicurezza: Utilizzare tool di sicurezza avanzati per monitorare e proteggere i dispositivi e le reti.
8. Creare un Piano di Emergenza: Creare un piano di emergenza per gestire eventuali attacchi informatici e minimizzare i danni.

La vulnerabilità zero-day in FortiGate rappresenta una minaccia significativa per la sicurezza delle reti aziendali. Tuttavia, seguendo le misure di protezione raccomandate e implementando le best practice di sicurezza, è possibile ridurre al minimo il rischio di attacchi informatici. È fondamentale mantenere aggiornati i firmware, implementare multi-factor authentication, limitare l’accesso amministrativo e monitorare costantemente le reti per prevenire e rispondere rapidamente a eventuali attacchi.

Fonte: https://cybersecuritynews.com/fortinet-fortigate-firewalls-under-attack-by-exploit-a-zero-day-vulnerability