В середине ноября 2024 года началась серия масштабных кибератак, нацеленных на межсетевые экраны FortiGate, использующие уязвимость нулевого дня CVE-2024-55591. Эта критическая брешь в системе безопасности позволяет злоумышленникам обходить аутентификацию и получать права супер-администратора, что открывает широкий путь для дальнейших действий. Атаки, первоначально зафиксированные компанией Arctic Wolf, показали, что киберпреступники эксплуатируют общедоступные интерфейсы управления межсетевых экранов, что подчеркивает важность соблюдения правил безопасности.
Эксплуатация уязвимости CVE-2024-55591 проходит в несколько этапов. Первоначально злоумышленники сканируют сети на наличие уязвимых устройств. Далее следует этап разведки, в ходе которого атакующие изучают конфигурацию системы. Затем, в декабре 2024 года, происходит создание новых учетных записей супер-администратора и изменение настроек межсетевого экрана. На завершающем этапе атаки используют SSL VPN-туннели для бокового перемещения по сети и получения доступа к конфиденциальным данным.
Особую тревогу вызывает тот факт, что атаки используют интерфейс
Уязвимость CVE-2024-55591, имеющая критический балл 9.6 по шкале CVSS и классифицируемая по CWE-288, затрагивает FortiOS версии 7.0.14 – 7.0.16 и FortiProxy версии 7.0.0 – 7.0.19, а также 7.2.0 – 7.2.12. Fortinet выпустила официальное предупреждение 14 января 2025 года, настоятельно рекомендуя обновить программное обеспечение до версий FortiOS 7.0.17 и выше, а также FortiProxy 7.0.20 и выше, или 7.2.13 и выше, соответственно.
Атаки носят оппортунистический характер и не нацелены на конкретные сектора или организации, что делает любую компанию с уязвимыми FortiGate потенциальной жертвой. Этот факт подтверждается разнообразием организаций, подвергшихся атакам. Агрессивность и быстрота распространения атак заставили Агентство по кибербезопасности и защите инфраструктуры США (CISA) внести уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), установив для федеральных агентств крайний срок для применения исправлений 21 января 2025 года.
Для противодействия угрозе крайне важно соблюдать основные правила безопасности. Первое и самое важное — не выставлять интерфейсы управления межсетевых экранов в открытый доступ в интернете. Доступ должен быть ограничен только доверенными пользователями. Необходимо незамедлительно установить последние патчи безопасности.
Помимо этого, в рамках усиления защиты рекомендуется тщательно контролировать все учетные записи пользователей, особенно супер-администраторов, и регулярно проводить аудит конфигураций межсетевых экранов. Использование надежных паролей и многофакторной аутентификации является неотъемлемой частью превентивной защиты.
В заключение, события, связанные с уязвимостью CVE-2024-55591, демонстрируют, насколько важно оперативно реагировать на новые угрозы и поддерживать программное обеспечение в актуальном состоянии. Кибербезопасность требует постоянной бдительности и проактивного подхода, и надежная защита критической инфраструктуры должна стать приоритетом для каждой организации. Раннее информирование клиентов и предоставление им конфиденциальных консультаций могут существенно укрепить общую безопасность.
Изображение носит иллюстративный характер
Эксплуатация уязвимости CVE-2024-55591 проходит в несколько этапов. Первоначально злоумышленники сканируют сети на наличие уязвимых устройств. Далее следует этап разведки, в ходе которого атакующие изучают конфигурацию системы. Затем, в декабре 2024 года, происходит создание новых учетных записей супер-администратора и изменение настроек межсетевого экрана. На завершающем этапе атаки используют SSL VPN-туннели для бокового перемещения по сети и получения доступа к конфиденциальным данным.
Особую тревогу вызывает тот факт, что атаки используют интерфейс
jsconsole и применяют метод DCSync для извлечения учетных данных. Подобная тактика свидетельствует о высокой технической подготовке и изощренности атакующих. Создание новых локальных пользователей, добавление их в группы SSL VPN, а также настройка новых SSL VPN-порталов позволяют злоумышленникам закрепиться в системе и сохранять доступ даже после устранения первоначальной бреши. Уязвимость CVE-2024-55591, имеющая критический балл 9.6 по шкале CVSS и классифицируемая по CWE-288, затрагивает FortiOS версии 7.0.14 – 7.0.16 и FortiProxy версии 7.0.0 – 7.0.19, а также 7.2.0 – 7.2.12. Fortinet выпустила официальное предупреждение 14 января 2025 года, настоятельно рекомендуя обновить программное обеспечение до версий FortiOS 7.0.17 и выше, а также FortiProxy 7.0.20 и выше, или 7.2.13 и выше, соответственно.
Атаки носят оппортунистический характер и не нацелены на конкретные сектора или организации, что делает любую компанию с уязвимыми FortiGate потенциальной жертвой. Этот факт подтверждается разнообразием организаций, подвергшихся атакам. Агрессивность и быстрота распространения атак заставили Агентство по кибербезопасности и защите инфраструктуры США (CISA) внести уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), установив для федеральных агентств крайний срок для применения исправлений 21 января 2025 года.
Для противодействия угрозе крайне важно соблюдать основные правила безопасности. Первое и самое важное — не выставлять интерфейсы управления межсетевых экранов в открытый доступ в интернете. Доступ должен быть ограничен только доверенными пользователями. Необходимо незамедлительно установить последние патчи безопасности.
Помимо этого, в рамках усиления защиты рекомендуется тщательно контролировать все учетные записи пользователей, особенно супер-администраторов, и регулярно проводить аудит конфигураций межсетевых экранов. Использование надежных паролей и многофакторной аутентификации является неотъемлемой частью превентивной защиты.
В заключение, события, связанные с уязвимостью CVE-2024-55591, демонстрируют, насколько важно оперативно реагировать на новые угрозы и поддерживать программное обеспечение в актуальном состоянии. Кибербезопасность требует постоянной бдительности и проактивного подхода, и надежная защита критической инфраструктуры должна стать приоритетом для каждой организации. Раннее информирование клиентов и предоставление им конфиденциальных консультаций могут существенно укрепить общую безопасность.
