Επιθέσεις εκμεταλλεύονται κρίσιμο ελάττωμα RCE της Fortinet σύμφωνα με την CISA

​Σήμερα, η CISA αποκάλυψε ότι οι εισβολείς εκμεταλλεύονται ενεργά μια κρίσιμη ευπάθεια για την εκτέλεση απομακρυσμένου κώδικα (RCE) του FortiOS στη φύση.

Το ελάττωμα (CVE-2024-23113) προκαλείται από τον δαίμονα fgfmd που δέχεται ως όρισμα μια συμβολοσειρά μορφής εξωτερικά ελεγχόμενη, η οποία μπορεί να επιτρέψει σε μη επιβεβαιωμένους παράγοντες απειλής να εκτελούν εντολές ή αυθαίρετο κώδικα σε μη επιδιορθωμένες συσκευές σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν από τον χρήστη αλληλεπίδραση.

Όπως εξηγεί το Fortinet, ο ευάλωτος δαίμονας fgfmd εκτελείται στο FortiGate και στο FortiManager, χειρίζεται όλα τα αιτήματα ελέγχου ταυτότητας και διαχειρίζεται τα μηνύματα διατήρησης μεταξύ τους (καθώς και όλες τις ενέργειες που προκύπτουν, όπως η εντολή σε άλλες διεργασίες για ενημέρωση αρχείων ή βάσεων δεδομένων).

CVE-2024-23113 επηρεάζει το FortiOS 7.0 και νεότερη έκδοση, FortiPAM 1.0 και νεότερη έκδοση, FortiProxy 7.0 και νεότερη έκδοση και FortiWeb 7.4.

Η εταιρεία αποκάλυψε και διορθώθηκε αυτό το ελάττωμα ασφαλείας τον Φεβρουάριο, όταν συμβούλεψε τους διαχειριστές να καταργήσουν την πρόσβαση στο fgfmd damon για όλες τις διεπαφές ως μέτρο μετριασμού που έχει σχεδιαστεί για να εμποδίζει πιθανές επιθέσεις.

“Λάβετε υπόψη ότι αυτό θα αποτρέψει την ανακάλυψη του FortiGate από το FortiManager. Η σύνδεση θα είναι ακόμα δυνατή από το FortiGate”, δήλωσε η Fortinet.

“Λάβετε επίσης υπόψη ότι μια πολιτική τοπικής εισόδου που επιτρέπει μόνο συνδέσεις FGFM από μια συγκεκριμένη IP θα μειώσει την επιφάνεια επίθεσης, αλλά δεν θα αποτρέψει την εκμετάλλευση της ευπάθειας από αυτήν την IP. Κατά συνέπεια, αυτό θα πρέπει να χρησιμοποιείται ως μετριασμός και όχι ως πλήρης λύση».

Οι ομοσπονδιακές υπηρεσίες διέταξαν να επιδιορθωθούν εντός τριών εβδομάδων

Ενώ η Fortinet δεν έχει ακόμη ενημερώσει τη συμβουλή του Φεβρουαρίου για να επιβεβαιώσει την εκμετάλλευση του CVE-2024-23113, η CISA προστέθηκε την ευπάθεια σε αυτήν Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών την Τετάρτη.

Οι ομοσπονδιακές υπηρεσίες των Η.Π.Α. υποχρεούνται τώρα επίσης να ασφαλίσουν τις συσκευές FortiOS στα δίκτυά τους από αυτές τις συνεχιζόμενες επιθέσεις εντός τριών εβδομάδων, έως τις 30 Οκτωβρίου, όπως απαιτείται από τη δεσμευτική επιχειρησιακή οδηγία (ΔΣ 22-01) που εκδόθηκε τον Νοέμβριο του 2021.

«Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνούς φορείς επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», προειδοποίησε η υπηρεσία κυβερνοασφάλειας.

Η Ολλανδική Στρατιωτική Υπηρεσία Πληροφοριών και Ασφάλειας (MIVD) προειδοποίησε τον Ιούνιο ότι Κινέζοι χάκερ εκμεταλλεύτηκαν μια άλλη κρίσιμη ευπάθεια FortiOS RCE (CVE-2022-42475) μεταξύ 2022 και 2023 για να παραβιάσουν και να μολύνουν τουλάχιστον 20.000 συσκευές ασφαλείας δικτύου Fortigate με κακόβουλο λογισμικό.