Fortinet FortiGate Firewall: Attacco da Vulnerabilità Zero-Day

Gli ultimi giorni hanno visto un aumento significativo delle notizie riguardanti un attacco ai firewall FortiGate di Fortinet, causato da una vulnerabilità zero-day. Questo tipo di vulnerabilità rappresenta una minaccia critica per la sicurezza delle reti aziendali, poiché permette agli attaccanti di guadagnare accesso amministrativo senza autenticazione. In questo articolo, esploreremo i dettagli dell’attacco, le misure di protezione raccomandate e alcuni consigli per prevenire future vulnerabilità.

Dettagli dell’Attacco

L’attacco in questione coinvolge una vulnerabilità di bypass dell’autenticazione (CVE-2024-55591) che impatta su versioni specifiche di FortiOS e FortiProxy. Questo bug permette agli attaccanti di guadagnare super-amministratore privilegi facendo richieste maliziose al modulo websocket Node.js[1][2][5].

Gli attaccanti hanno iniziato a sfruttare questa vulnerabilità già a partire da metà novembre 2024, creando utenti amministrativi casuali o locali sui dispositivi compromessi e aggiungendoli a gruppi SSL VPN esistenti o nuovi[1][2].

Fasi dell’Attacco

La campagna di attacco, osservata da Arctic Wolf Labs, si è svolta in quattro fasi:

1. Scanning di Vulnerabilità (16 novembre – 23 novembre 2024): Gli attaccanti hanno eseguito scan di vulnerabilità utilizzando il jsconsole command-line interface e spesso utilizzando indirizzi IP spoofati, come ad esempio loopback addresses (e.g., 127.0.0.1) o risolutori DNS pubblici (e.g., 8.8.8.8)[2].
2. Riconoscimento (22 novembre – 27 novembre 2024): Gli attaccanti hanno eseguito riconoscimento facendo cambiamenti di configurazione iniziali per testare se avevano guadagnato privilegi amministrativi[2].
3. Configurazione SSL VPN (4 dicembre – 7 dicembre 2024): Gli attaccanti hanno configurato l’accesso SSL VPN, creando nuovi account amministrativi super o hijacking quelli esistenti per infiltrarsi ulteriormente nelle reti. Hanno anche modificato le impostazioni del portale VPN o sfruttato account “ospiti” predefiniti per il controllo[2].

4. Movimento Laterale (16 dicembre – 27 dicembre 2024): Utilizzando l’accesso amministrativo, gli attaccanti hanno utilizzato la tecnica DCSync per estrarre credenziali sfruttando la replica dei domini, permettendo loro di accedere più profondamente alle informazioni conto sensibili[2].

Misure di Protezione

Per proteggersi da questa vulnerabilità, Fortinet consiglia di:

• Disabilitare l’accesso amministrativo su interfacce gestionali pubbliche. Questo è il passo più critico per prevenire l’accesso malizioso[1][2][5].
• Limitare l’accesso amministrativo tramite politiche local-in. Questo può essere fatto configurando le politiche di accesso per limitare quali indirizzi IP possono raggiungere l’interfaccia amministrativa[1][5].
• Aggiornare il firmware. Fortinet ha rilasciato patch per le versioni colpite, quindi è fondamentale aggiornare il firmware ai livelli più recenti[1][2][5].
• Implementare multi-factor authentication. Utilizzare autenticazione a fattore multipla può aggiungere un ulteriore livello di sicurezza ai sistemi[1][5].
• Monitorare le reti per attività anomale. Continuare a monitorare le reti per rilevare eventuali attività anomale e reagire tempestivamente[1][5].

Consigli per la Prevenzione

1. Monitorare Costantemente le Reti: Assicurarsi di avere un sistema di monitoraggio attivo per rilevare eventuali attività anomale e reagire tempestivamente.
2. Aggiornare Costantemente il Firmware: Mantenere sempre aggiornato il firmware dei dispositivi per assicurarsi di avere le patch più recenti disponibili.
3. Implementare Multi-Factor Authentication: Utilizzare autenticazione a fattore multipla per aggiungere un ulteriore livello di sicurezza ai sistemi.

4. Limitare l’Accesso Amministrativo: Utilizzare politiche di accesso per limitare quali indirizzi IP possono raggiungere l’interfaccia amministrativa.
5. Eseguire Test di Sicurezza Regolari: Eseguire test di sicurezza regolari per identificare e correggere eventuali vulnerabilità prima che vengano sfruttate dagli attaccanti.
6. Formare gli Utenti: Formare gli utenti sulla sicurezza informatica e sulle best practice per prevenire attacchi informatici.

7. Utilizzare Tool di Sicurezza: Utilizzare tool di sicurezza avanzati per monitorare e proteggere i dispositivi e le reti.
8. Creare un Piano di Emergenza: Creare un piano di emergenza per gestire eventuali attacchi informatici e minimizzare i danni.

La vulnerabilità zero-day in FortiGate rappresenta una minaccia significativa per la sicurezza delle reti aziendali. Tuttavia, seguendo le misure di protezione raccomandate e implementando le best practice di sicurezza, è possibile ridurre al minimo il rischio di attacchi informatici. È fondamentale mantenere aggiornati i firmware, implementare multi-factor authentication, limitare l’accesso amministrativo e monitorare costantemente le reti per prevenire e rispondere rapidamente a eventuali attacchi.

Fonte: https://cybersecuritynews.com/fortinet-fortigate-firewalls-under-attack-by-exploit-a-zero-day-vulnerability