Sursa: dnsc.ro
CVE-2024-55591 este o vulnerabilitate de securitate critică, clasificată drept Authentication Bypass, ce afectează produsele FortiOS și FortiProxy utilizate la scară largă pentru securitatea rețelelor. Aceasta permite atacatorilor să obțină privilegii de administrator, exploatând o gestiune defectuoasă a sesiunilor de autentificare în modulul Node.js websocket al dispozitivelor afectate.
DETALII TEHNICE
Vector de atac: Atacatorul poate trimite cereri special concepute printr-o conexiune websocket nesigură. Acest lucru îi permite să se autentifice fără a furniza credențiale valide, obținând acces neautorizat.
Privilegii obținute: Exploatarea cu succes oferă atacatorului acces de tip super-administrator (super_admin) pe dispozitivul vizat, acesta obținând astfel control complet asupra sistemului și capacitatea de a modifica setări critice sau de a compromite alte părți ale infrastructurii.
Condiții de exploatare: Vulnerabilitatea poate fi exploatată fără autentificare prealabilă, fapt ce îi conferă un grad de severitate ridicat, aceasta fiind ușor de utilizat în scenarii de atac automatizat.
Produse afectate: FortiOS, FortiProxy.
SCOR DE SEVERITATE
CVSS Score: 9.8 (Critical)
IMPACT
Un atacator care exploatează această vulnerabilitate poate să:
- creeze conturi noi de administrare sau utilizatori locali;
- modifice setările de firewall, politici de rețea sau configurări critice;
- creeze tuneluri VPN pentru acces la rețeaua internă;
- acceseze sau modifice date sensibile.
VERSIUNI AFECTATE
- FortiOS: de la 7.0.0 până la 7.0.16
- FortiProxy: de la 7.0.0 până la 7.0.19 și de la 7.2.0 până la 7.2.12
RECOMANDĂRI
Producătorul Fortinet a lansat actualizări pentru a remedia această vulnerabilitate. Se recomandă actualizarea la următoarele versiuni:
FortiOS: actualizați la versiunea 7.0.17 sau ulterioară
FortiProxy 7.0: actualizați la versiunea 7.0.20 sau ulterioară
FortiProxy 7.2: actualizați la versiunea 7.2.13 sau ulterioară
- reconfigurați parolele conturilor de administrator și utilizatori normali cu utilizarea de combinații complexe și verificați integritatea acestora pentru modificări neautorizate;
- examinați și eliminați conturile suspecte sau generate aleatoriu, asigurându-vă că doar utilizatorii autorizați au acces;
- configurați autentificarea MFA, transmiteți parolele noi prin canale sigure și monitorizați log-urile pentru acces neautorizat.
Se recomandă actualizarea produselor afectate cât mai curând posibil pentru a atenua aceste riscuri de exploatare a vulnerabilităților, acordând prioritate dispozitivelor expuse la internet și dispozitivelor critice ale organizațiilor.
