CVE-2024-55591: Zero-Day-Schwachstelle zur Umgehung der Authentifizierung bei Fortinet wird bereits im Wilden ausgenutzt

Fortinet hat ein kritische Zero-Day-Authentifizierungs-Umgehungslücke in FortiOS und FortiProxy behoben, die seit November 2024 aktiv ausgenutzt wurde. Die Schwachstelle, die als CVE-2024-55591 verfolgt wird, ermöglicht einem nicht authentifizierten Fernangreifer, die Authentifizierung zu umgehen und Super-Admin-Rechte auf einem anfälligen Gerät zu erlangen, indem ein speziell gestaltetes Anforderung an ein Node.js-Websocket-Modul gesendet wird. Forscher bei Arctic Wolf haben die verdächtigen Aktivitäten im Zusammenhang mit der Ausnutzung dieser Schwachstelle Mitte November 2024 erstmals beobachtet. Die Schwachstelle wurde in einer Kampagne mit vier verschiedenen Phasen ausgenutzt: Scannen, Erkundung, SSL-VPN-Konfiguration und laterale Bewegung. Fortinet hat Patches für FortiOS und FortiProxy veröffentlicht und auch Indikatoren für Kompromittierungen und Umgehungsschritte in seinem Sicherheitsbericht bereitgestellt. Das Unternehmen hat auch mehrere weitere Sicherheitsberichte für Schwachstellen veröffentlicht, die FortiOS und FortiProxy betreffen. Die Schwachstelle ist die neueste in einer Serie von Fehlern, die seit 2019 von Bedrohungsakteuren, einschließlich fortgeschrittener persistenter Bedrohungsakteure, angegriffen wurden. Fortinet hat Patches für die betroffenen Versionen von FortiOS und FortiProxy veröffentlicht, und Kunden werden empfohlen, auf die korrigierten Versionen upzudaten, um die Ausnutzung zu verhindern. Tenable hat auch Plugins veröffentlicht, um betroffene Systeme zu identifizieren, und Kunden können Tenable Attack Surface Management verwenden, um öffentlich zugängliche Fortinet-Assets zu identifizieren.