CVE-2024-55591: Уязвимость обхода аутентификации Fortinet Zero-Day эксплуатируется в дикой природе

Fortinet исправила критическую уязвимость нулевого дня, позволяющую обойти аутентификацию в FortiOS и FortiProxy, которая активно эксплуатировалась в дикой природе с ноября 2024 года. Уязвимость, отслеживаемая как CVE-2024-55591, позволяет неавторизованному удаленному злоумышленнику обойти аутентификацию и получить привилегии супер-администратора на уязвимом устройстве, отправив специально созданный запрос на модуль Node.js websocket. Исследователи в Arctic Wolf впервые обнаружили подозрительную активность, связанную с эксплуатацией этой уязвимости, в середине ноября 2024 года. Уязвимость была использована в кампании, которая включает четыре различных фазы: сканирование, разведка, настройка SSL VPN и движение вглубь сети. Fortinet выпустила исправления для FortiOS и FortiProxy, а также предоставила индикаторы компрометации и обходные шаги в своем совете по безопасности. Компания также выпустила несколько дополнительных советов по безопасности для уязвимостей, влияющих на FortiOS и FortiProxy. Уязвимость является последней в серии ошибок, которые были нацелены угрозами, включая продвинутые постоянные угрозы, с 2019 года. Fortinet выпустила исправления для затронутых версий FortiOS и FortiProxy, и клиентам рекомендуется обновиться до исправленных версий, чтобы предотвратить эксплуатацию. Tenable также выпустила плагины, чтобы помочь выявить затронутые системы, и клиенты могут использовать Tenable Attack Surface Management, чтобы выявить публично доступные активы Fortinet.