CVE-2024-55591: La vulnerabilità di Fortinet che mette a rischio sistemi critici

CVE-2024-55591: La vulnerabilità di Fortinet che mette a rischio sistemi critici

La vulnerabilità CVE-2024-55591 è stata recentemente scoperta in FortiOS e FortiProxy, due sistemi di sicurezza critici utilizzati da molte organizzazioni. Questa vulnerabilità di autenticazione bypass è stata attivamente sfruttata dagli attacchi informatici, mettendo a rischio la sicurezza di molti sistemi. In questo articolo, esploreremo la natura di questa vulnerabilità, come viene sfruttata e come proteggersi efficacemente.

La Vulnerabilità CVE-2024-55591

La vulnerabilità CVE-2024-55591 è un tipo di vulnerabilità di autenticazione bypass che permette agli attaccanti di bypassare le procedure di autenticazione dei sistemi Fortinet. Questo viene fatto inviando richieste specialmente craftate al modulo websocket Node.js, che è parte integrante del sistema di gestione dei dispositivi Fortinet. Una volta bypassata l’autenticazione, gli attaccanti possono ottenere i permessi di super-amministratore sul dispositivo, permettendo loro di eseguire azioni dannose e compromettere la sicurezza del sistema[1][2][3].

Impatto e Affetti

La vulnerabilità CVE-2024-55591 colpisce principalmente le versioni seguenti di FortiOS e FortiProxy:

  • FortiOS 7.0: dalle versioni 7.0.0 alle 7.0.16.
  • FortiProxy 7.0: dalle versioni 7.0.0 alle 7.0.19.
  • FortiProxy 7.2: dalle versioni 7.2.0 alle 7.2.12[1][2][3].

Come Funziona l’Attacco

Gli attaccanti utilizzano richieste specialmente craftate al modulo websocket Node.js per bypassare l’autenticazione. Queste richieste permettono loro di accedere al sistema con i permessi di super-amministratore. Una volta acceduti, gli attaccanti possono eseguire azioni come creare nuovi account amministrativi, modificare le impostazioni di sicurezza e accedere ai tunnel SSL VPN per infiltrarsi nella rete interna[1][2][3].

Indicazioni di Compromissione (IoCs)

Per identificare se il tuo sistema è stato compromesso, è importante monitorare i seguenti log:

  • Login amministrativo: Log di login amministrativo con un utente random e IP sconosciuta.
  • Creazione account amministrativo: Log di creazione di un account amministrativo con un nome utente random e IP sconosciuta.
  • Modifica impostazioni: Log di modifica delle impostazioni di sicurezza, come aggiunta di nuovi account o modifiche alle politiche del firewall[1][2][3].

IP Sospette

Ecco alcune delle IP sospette utilizzate dagli attaccanti:

  • 45.55.158.47
  • 87.249.138.47
  • 155.133.4.175
  • 37.19.196.65
  • 149.22.94.37[2]

Mitigazioni

Per proteggersi da questa vulnerabilità, Fortinet ha rilasciato patch per le versioni colpite. Ecco le istruzioni per l’aggiornamento:

  • FortiOS 7.0: Aggiornare a 7.0.17 o versioni successive.
  • FortiProxy 7.0: Aggiornare a 7.0.20 o versioni successive.
  • FortiProxy 7.2: Aggiornare a 7.2.13 o versioni successive[1][2][3].

Se non è possibile aggiornare immediatamente, è possibile prendere le seguenti misure temporanee:

  • Disabilitare l’interfaccia di gestione HTTP/HTTPS: Disabilitare l’interfaccia di gestione per prevenire gli attacchi.
  • Limitare l’accesso: Utilizzare ACL per limitare l’accesso all’interfaccia di gestione solo a IP autorizzati[2][3].

Suggerimenti e Consigli

  1. Monitorare i Log: Assicurarsi di monitorare regolarmente i log del sistema per identificare eventuali attività anomale.
  2. Aggiornare i Patches: Aggiornare immediatamente i patch forniti da Fortinet per risolvere la vulnerabilità.
  3. Limitare l’Accesso: Utilizzare ACL per limitare l’accesso all’interfaccia di gestione solo a IP autorizzati.
  4. Disabilitare l’Interfaccia di Gestione: Disabilitare l’interfaccia di gestione HTTP/HTTPS se non è necessaria per le operazioni quotidiane.
  5. Monitorare le Connesioni: Monitorare tutte le connessioni al dispositivo e assicurarsi che l’audit logging sia attivo per rilevare eventuali attività sospette.

La vulnerabilità CVE-2024-55591 è una minaccia critica per i sistemi Fortinet. È fondamentale prendere immediatamente misure per proteggersi da questa vulnerabilità, inclusi l’aggiornamento dei patch e la limitazione dell’accesso all’interfaccia di gestione. Monitorando regolarmente i log e disabilitando l’interfaccia di gestione quando non è necessaria, è possibile ridurre significativamente il rischio di attacchi informatici.

Fonte: https://cyble.com/blog/cve-2024-55591-the-fortinet-flaw-putting-critical-systems-at-risk

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto