Более 50 000 устройств Fortinet находятся под угрозой

Сегодня, несмотря на стремительное развитие технологий, внимание к сетевой безопасности становится все более важным. Однако иногда даже самые надежные системы защиты могут сталкиваться с неожиданными уязвимостями. По состоянию на 22 января 2025 года, около 50 тысяч межсетевых экранов компании Fortinet все еще находятся под серьезной угрозой, что ставит безопасность их сетей под удар. Речь идет о недавно выявленной уязвимости с идентификатором CVE-2024-55591.

Эта уязвимость активно эксплуатируется с ноября 2024 года. Используя данную уязвимость, злоумышленники могут получить доступ к системе без какой-либо аутентификации и завладеть привилегиями супер-администратора. Это открывает возможности для выполнения следующих действий:

• выполнение несанкционированных команд;
• создание фальшивых учетных записей администратора;
• изменение политик межсетевого экрана;
• настройка VPN-туннелей для атак внутри сети.

Техническая основа уязвимости связана с некорректной работой модуля Node.js WebSocket в продуктах Fortinet FortiOS и FortiProxy. Эта проблема была оценена как крайне опасная с баллом 9,6 по шкале CVSSv3.

Данная уязвимость затрагивает следующие версии программного обеспечения:

• FortiOS: версии с 7.0.0 до 7.0.16;
• FortiProxy: версии с 7.0.0 до 7.0.19 и с 7.2.0 до 7.2.12.

Обновленные версии — FortiOS 7.0.17 и выше, а также FortiProxy 7.2.13 и выше — были выпущены 14 января 2025 года. Однако многие организации до сих пор не приняли меры для установки этих обновлений.

Эксперты по кибербезопасности зафиксировали этапы эксплуатации данной уязвимости:

• Сканирование уязвимостей: 16–23 ноября 2024 года;
• Разведка сети: 22–27 ноября 2024 года;
• Настройка SSL VPN: 4–7 декабря 2024 года;
• Движение внутри сети: 16–27 декабря 2024 года.

Эти атаки в основном осуществлялись через открытые интерфейсы управления межсетевыми экранами Fortinet. Злоумышленники получали несанкционированный доступ к учетным записям администратора и продолжали свою вредоносную деятельность внутри сети.

По данным Shadowserver Foundation, по состоянию на 21 января 2025 года более 50 тысяч устройств остаются необновленными. Наибольшее количество затронутых устройств находится в следующих регионах:

• Азия: 20 687 устройств;
• Северная Америка: 12 866 устройств;
• Европа: 7 401 устройство.

Эти цифры демонстрируют медленные темпы принятия мер безопасности со стороны организаций.

Рекомендации и меры предосторожности

Fortinet настоятельно рекомендует пользователям немедленно установить обновления или принять альтернативные меры защиты. Рекомендуемые действия:

1. Обновление программного обеспечения: Установите FortiOS версии 7.0.17 или выше и FortiProxy версии 7.2.13 или выше.
2. Ограничение доступа: Отключите HTTP/HTTPS интерфейсы управления или ограничьте доступ к ним только доверенными IP-адресами.
3. Мониторинг сети: Проверьте индикаторы компрометации (IoC), такие как создание несанкционированных учетных записей или изменения конфигурации межсетевого экрана.

Агентство США по кибербезопасности и защите инфраструктуры (CISA) добавило уязвимость CVE-2024-55591 в свой каталог известных эксплуатируемых уязвимостей (KEV) и потребовало от федеральных агентств устранить проблему до 21 января 2025 года.

Несмотря на доступность обновлений, многие организации пока не предприняли достаточных мер для устранения этой уязвимости. Эксперты предупреждают, что промедление может привести к дальнейшим компрометациям, включая атаки программ-вымогателей.

Пользователям продуктов Fortinet настоятельно рекомендуется уделить серьезное внимание данной уязвимости высокой степени опасности. Обновите свои системы, укрепите сетевую безопасность и оперативно предпримите меры по снижению рисков, связанных с данной уязвимостью. Ведь безопасность сети — это вопрос, который всегда должен оставаться в центре внимания.