Уязвимость обхода аутентификации с использованием альтернативного пути или канала в FortiOS и FortiProxy может позволить злоумышленникам получить привилегии суперадминистратора. Устройства с уязвимыми версиями используются для создания учетных записей администраторов с случайными именами, создания учетных записей локальных пользователей, добавления пользователей в группу sslvpn, а также изменения настроек и входа в sslvpn для доступа к внутренней сети.
Описание
Уязвимые версии FortiOS 7.0 и FortiProxy 7.2 и 7.0 требуют обновления до более новых версий, чтобы устранить уязвимости. Доступный инструмент обновления можно найти по ссылке: https://docs.fortinet.com/upgrade-tool. Дополнительные меры безопасности включают отключение административного интерфейса HTTP/HTTPS и ограничение IP-адресов, которые могут получить доступ к административному интерфейсу.
Злоумышленники уже используют данную уязвимость и их действия отражаются в записях логов. Примеры записей логов указывают на успешный вход в систему администратора с использованием альтернативного канала и на создание пользователей с аномальными именами. В записях также указаны IP-адреса, которые злоумышленники использовали чаще всего, но они не должны быть использованы для блокировки, так как могут быть произвольно сгенерированы злоумышленниками.
Примеры имен пользователей, которые они использовали для создания пользователей-администраторов: Gujhmk; Ed8x4k; G0xgey; Pvnw81; Alg7c4; Ypda8a; Kmi8p4; 1a2n6t; 8ah1t6 и т. д.
Кроме того, в списке IP-адресов, которые использовали злоумышленники, есть наиболее часто используемый IP-адрес 45.55.158.47, а также другие адреса.
Indicators of Compromise
IPv4
- 149.22.94.37
- 155.133.4.175
- 37.19.196.65
- 45.55.158.47
- 87.249.138.47