Baš u trenutku kada Fortinet upozorava na hakere koji održavaju trajni pristup FortiOS i FortiProxy uređajima pogođenim poznatim ranjivostima, jedan haker navodno nudi na prodaju zero-day eksploataciju koja cilja FortiGate firewall uređaje.
Tokom vikenda, bezbjednosna firma ThreatMon objavila je na platformi X upozorenje u vezi objave na forumu dark weba, u kojoj jedan haker tvrdi da se zero-day ranjivost u Fortinetovim FortiGate firewall uređajima može iskoristiti daljinski, bez autentifikacije, za izvršavanje proizvoljnog koda.
Prema riječima ovog pojedinca, eksploatacija bi omogućila potpunu kontrolu nad ranjivim uređajem, uključujući izvlačenje FortiOS konfiguracionih fajlova i osjetljivih informacija koje oni sadrže – uključujući korisnička imena i lozinke, ovlašćenja administratorskih naloga, firewall politike, status dvofaktorske autentifikacije i drugo.
Objava ovog hakera pojavila se u isto vrijeme kada je Fortinet izdao novo bezbjednosno saopštenje o eksploataciji poznatih ranjivosti u svojim FortiOS i FortiProxy proizvodima.
Prema navodima Fortineta, najmanje tri bezbjednosna propusta za koje su već izdate zakrpe — CVE-2022-42475, CVE-2023-27997 i CVE-2024-21762 — iskorišćeni su u globalnim napadima kako bi se „sproveo pristup u režimu samo za čitanje nad ranjivim FortiGate uređajima”.
Kroz „kreiranje simboličke veze između korisničkog fajl sistema i root fajl sistema unutar direktorijuma koji se koristi za jezičke fajlove SSL-VPN funkcije”, napadači uspijevaju da izbjegnu detekciju i da čak i nakon implementacije zakrpa zadrže pristup kompromitovanim uređajima.
Samo konfiguracije sa uključenom SSL-VPN funkcijom bile su pogođene, a Fortinet je već primijenio nove mjere mitigacije, uključujući AV/IPS potpis, kao i izmjene u novijim verzijama softvera koje detektuju i uklanjaju ovu simboličku vezu, te su stupili u kontakt sa potencijalno pogođenim korisnicima.
Fortinet i američka bezbjednosna agencija CISA apeluju na administratore da ažuriraju svoje firewall uređaje na FortiOS verzije 7.6.2, 7.4.7, 7.2.11, 7a.0.17 ili 6.4.16, koje uklanjaju ovu malicioznu simboličku vezu.
Izvor: SecurityWeek