В исследовании, проведенном компанией Arctic Wolf Labs, было обнаружено, что межсетевые устройства Fortinet FortiGate с открытыми для публичного доступа интерфейсами управления подвергались несанкционированной активности.
Описание
14 января 2025 года компания Fortinet опубликовала сообщение, подтверждающее существование уязвимости обхода аутентификации, затрагивающей продукты FortiOS и FortiProxy, которая была обозначена как CVE-2024-55591. В этом сообщении также были подтверждены ключевые детали, наблюдавшиеся в ходе описанной здесь кампании. Обновленные рекомендации по устранению уязвимости см. в нашем бюллетене безопасности.
Атака включала в себя несанкционированный вход в интерфейсы управления, создание новых учетных записей и использование их для аутентификации SSL VPN, а также внесение различных изменений в конфигурацию устройств. Пока точный вектор первоначального доступа неизвестен, существует высокая вероятность использования уязвимости нулевого дня. Рекомендуется организациям незамедлительно отключить доступ к управлению брандмауэром через публичные интерфейсы.
Кроме того, компания Fortinet объявила о существовании уязвимости обхода аутентификации, которая затрагивает продукты FortiOS и FortiProxy. Обновления с подробностями и рекомендациями по устранению этой уязвимости будут опубликованы в бюллетене безопасности.
Анализ активности в ходе кампании показал, что злоумышленники проходили через четыре фазы: сканирование уязвимостей, разведка, настройка SSL VPN и боковое перемещение. Каждая фаза характеризовалась различными вредоносными изменениями конфигурации и действиями злоумышленников. Однако следует отметить, что эта классификация может быть неполной или упрощенной, поскольку исследование ограничивается только частью общей активности в рамках данной кампании.
Важным отличием несанкционированной активности от нормального функционирования брандмауэра было широкое использование интерфейса jsconsole с необычных IP-адресов. Это свидетельствует о возможном участии нескольких лиц или групп в кампании, но использование jsconsole было общим для всех.
Устройства, подвергшиеся атаке, имели различные версии прошивок, в том числе от 7.0.14 до 7.0.16.
Indicators of Compromise
IPv4
- 137.184.65.71
- 155.133.4.175
- 157.245.3.251
- 167.71.245.10
- 23.27.140.65
- 31.192.107.165
- 37.19.196.65
- 45.55.158.47
- 64.190.113.25
- 66.135.27.178
