Критическая уязвимость FortiGuard позволяет создать пользователя-администратора (CVSS 9.6)

security IOC

Уязвимость обхода аутентификации с использованием альтернативного пути или канала в FortiOS и FortiProxy может позволить злоумышленникам получить привилегии суперадминистратора. Устройства с уязвимыми версиями используются для создания учетных записей администраторов с случайными именами, создания учетных записей локальных пользователей, добавления пользователей в группу sslvpn, а также изменения настроек и входа в sslvpn для доступа к внутренней сети.

Описание

Уязвимые версии FortiOS 7.0 и FortiProxy 7.2 и 7.0 требуют обновления до более новых версий, чтобы устранить уязвимости. Доступный инструмент обновления можно найти по ссылке: https://docs.fortinet.com/upgrade-tool. Дополнительные меры безопасности включают отключение административного интерфейса HTTP/HTTPS и ограничение IP-адресов, которые могут получить доступ к административному интерфейсу.

Злоумышленники уже используют данную уязвимость и их действия отражаются в записях логов. Примеры записей логов указывают на успешный вход в систему администратора с использованием альтернативного канала и на создание пользователей с аномальными именами. В записях также указаны IP-адреса, которые злоумышленники использовали чаще всего, но они не должны быть использованы для блокировки, так как могут быть произвольно сгенерированы злоумышленниками.

Примеры имен пользователей, которые они использовали для создания пользователей-администраторов: Gujhmk; Ed8x4k; G0xgey; Pvnw81; Alg7c4; Ypda8a; Kmi8p4; 1a2n6t; 8ah1t6 и т. д.

Кроме того, в списке IP-адресов, которые использовали злоумышленники, есть наиболее часто используемый IP-адрес 45.55.158.47, а также другие адреса.

Indicators of Compromise

IPv4

  • 149.22.94.37
  • 155.133.4.175
  • 37.19.196.65
  • 45.55.158.47
  • 87.249.138.47
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий