CVE-2024-55591 – Bypass di Autenticazione in Fortinet FortiOS e FortiProxy

Una vulnerabilità critica di bypass dell’autenticazione (CVSS 9.6) che colpisce i prodotti FortiOS e FortiProxy di Fortinet è attualmente oggetto di sfruttamento attivo. La vulnerabilità risiede nel modulo WebSocket di Node.js e consente ad attaccanti remoti di aggirare i meccanismi di autenticazione. Oltre 7,6 milioni di istanze dei firewall Fortinet sono esposte a Internet, rendendo questa minaccia particolarmente diffusa.

Fortinet FortiProxy
2025-01-17 13:27:30
Fix Available, Active Exploitation

Riassunto tecnico

Questa vulnerabilità consente agli attaccanti di bypassare i controlli di autenticazione e ottenere privilegi di super-amministratore inviando richieste web appositamente costruite. Uno sfruttamento riuscito permette agli attaccanti di:

  • Creare account super-admin con privilegi completi di sistema
  • Modificare configurazioni di sistema inclusi criteri firewall e gruppi utente
  • Stabilire tunnel VPN per accedere alle reti interne
  • Creare account utente locali con nomi casuali (es. Gujhmk, Ed8x4k)
  • Aggiungere/modificare policy firewall e impostazioni di rete

Dispositivi e versioni affetti:

  • FortiOS dalla 7.0.0 alla 7.0.16
  • FortiProxy dalla 7.0.0 alla 7.0.19
  • FortiProxy dalla 7.2.0 alla 7.2.12

Lo sfruttamento coinvolge:

  1. Invio di una richiesta costruita all’endpoint di login
  2. Stabilire una connessione WebSocket con intestazioni specifiche
  3. Bypass dei controlli di autenticazione tramite il modulo WebSocket di Node.js

Raccomandazioni

  1. Aggiornare alle versioni corrette:
  • FortiOS 7.0.17 o successive
  • FortiProxy 7.2.13 o successive
  1. Miglioramenti alla sicurezza:
  • Abilitare l’autenticazione a più fattori (MFA) per tutti gli account amministrativi
  • Implementare policy “local-in” per restringere l’accesso all’interfaccia di gestione
  • Limitare l’accesso amministrativo a intervalli IP affidabili
  • Monitorare regolarmente l’attività account sospetta
  1. Rilevamento:
  • Monitorare la creazione di account admin con nomi casuali (es. Gujhmk, Ed8x4k)
  • Osservare tentativi di accesso da IP malevoli noti
  • Controllare i log di sistema per modifiche non autorizzate alla configurazione

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In