2min Security

Zero-day Fortinet geeft hackers toegang tot bedrijfsnetwerken

Zero-day Fortinet geeft hackers toegang tot bedrijfsnetwerken

Fortinet heeft een waarschuwing uitgebracht voor een kritieke zero-day in firewalls. Hackers maken actief misbruik van deze authentication bypass-kwetsbaarheid om firewalls over te nemen en bedrijfsnetwerken binnen te dringen.

De kwetsbaarheid (CVE-2024-55591) treft besturingssysteem FortiOS 7.0.0 tot en met 7.0.16 en meerdere versies van secure web gateway FortiProxy. Succesvolle aanvallen stelt cybercriminelen in staat om super-admin rechten te verkrijgen. Dit door kwaadaardige verzoeken te sturen naar de Node.js websocket module.

Aanvalsmethode en impact

Volgens Fortinet creëren de aanvallers willekeurig gegenereerde beheerders of lokale gebruikers op gecompromitteerde apparaten. Deze gebruikers worden vervolgens toegevoegd aan bestaande SSL VPN-gebruikersgroepen of aan nieuw aangemaakte groepen. Daarnaast worden firewall-policies en andere instellingen gewijzigd.

Securityonderzoekers van Arctic Wolf stellen dat Fortinet FortiGate-firewalls met internet-geëxposeerde beheerinterfaces sinds medio november onder vuur liggen. De aanvalscampagne omvat ongeautoriseerde admin-logins, het aanmaken van nieuwe accounts en SSL VPN-authenticatie via deze accounts.

Aanbevolen maatregelen

Fortinet adviseert admins om de HTTP/HTTPS-beheerinterface uit te schakelen of de IP-adressen die toegang hebben tot de beheerinterface te beperken via local-in policies. Arctic Wolf benadrukt het belang van het onmiddellijk uitschakelen van firewall-beheertoegang op publieke interfaces.

Arctic Wolf heeft een tijdlijn voor de CVE-2024-55591 massa-exploitatiecampagne opgesteld, bestaande uit vier fases tussen 16 november en 27 december 2024. Organisaties kunnen hun logs controleren op specifieke entries om te bepalen of hun apparaten zijn aangevallen.

Naast deze zero-day heeft Fortinet ook patches uitgebracht voor een kritieke hard-coded cryptografische sleutel-kwetsbaarheid (CVE-2023-37936). Deze kwetsbaarheid stelt externe, niet-geauthenticeerde aanvallers in staat om ongeautoriseerde code uit te voeren via gemanipuleerde cryptografische verzoeken.

Tip: Securitybedrijf Fortinet slachtoffer van datalek