You are here
Home > Novosti > Kritična FortiGuard ranjivost omogućuje stvaranje admin korisnika (CVSS 9.6)

Kritična FortiGuard ranjivost omogućuje stvaranje admin korisnika (CVSS 9.6)

by Jakov Kiš - 0

Ranjivost zaobilaženja autentifikacije korištenjem alternativnog puta ili kanala [CWE-288] koja utječe na FortiOS i FortiProxy može omogućiti udaljenom napadaču da dobije ovlasti super-administratora slanjem zahtjeva putem interneta prema Node.js pristupnom modulu.

Ranjivost: CVE-2024-55591

Izvješća pokazuju da napadači već iskorištavaju ovu ranjivost.

Do sad je uočeno da su napadači:

  • Stvarali admin račune na uređaju s nasumičnim korisničkim imenom
  • Stvarali lokalne korisničke račune na uređaju s nasumičnim korisničkim imenom
  • Stvarali korisničke grupe ili dodavali nove korisnike u postojeću sslvpn korisničku grupu
  • Dodavali/mijenjali postavke (politika vatrozida, adresa vatrozida, …)
  • Prijavljivali u sslvpn s dodanim lokalnim korisnicima za dobivanje tunela do interne mreže.

Ranjive inačice:

Ranjive inačiceRješenje
FortiOS 7.07.0.0 do 7.0.16Nadogradnja na verziju 7.0.17 ili noviju
FortiProxy 7.27.2.0 do 7.2.12Nadogradnja na inačicu 7.2.13 ili noviju
FortiProxy 7.07.0.0. do 7.0.19Nadogradnja na inačicu 7.0.20 ili noviju

Ako koristite ranjive verzije, savjetujemo ažuriranje putem alata dostupnog na poveznici: https://docs.fortinet.com/upgrade-tool

Moguće rješenja:

  • Onemogući HTTP/HTTPS administrativno sučelje
  • Ograničite IP adrese koje mogu doći do administrativnog sučelja

Za više savjeta posjetite: PSIRT | FortiGuard Labs

Indikatori kompromitacije:

Zapis prijave u sustav s nasumičnim scrip-om i dstip-om:

type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Admin login successful” sn=”1733486785″ user=”admin” ui=”jsconsole” method=”jsconsole” srcip=1.1.1.1 dstip=1.1.1.1 action=”login” status=”success” reason=”none” profile=”super_admin” msg=”Administrator admin logged in successfully from jsconsole“

Zapis kreiranja admin korisnika čudnog imena i izvornog IP-a:

type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Object attribute configured” user=”admin” ui=”jsconsole(127.0.0.1)” action=”Add” cfgtid=1411317760 cfgpath=”system.admin” cfgobj=”vOcep” cfgattr=”password[*]accprofile[super_admin]vdom[root]” msg=”Add system.admin vOcep

Napadači su u navedenim zapisima uglavnom koristili sljedeće IP adrese: 1.1.1.1; 127.0.0.1; 2.2.2.2; 8.8.8.8; 8.8.4.4

*navedeni IP parametri nisu stvarne izvorne IP adrese napadača. Napadač ih proizvoljno generira kao parametar. Zbog toga se ne smiju koristiti za bilo kakvo blokiranje.

Također imajte na umu da sn i cfgtid nisu relevantni za napad.

Primjeri korisničkih imena koje su koristili za kreiranje admin korisnika: Gujhmk; Ed8x4k; G0xgey; Pvnw81; Alg7c4; Ypda8a; Kmi8p4; 1a2n6t; 8ah1t6 i sl.

Napadači su koristili i sljedeće IP adrese: 45.55.158.47 [najčešće korištena IP adresa]; 87.249.138.47; 155.133.4.175; 37.19.196.65; 149.22.94.37

#SurfajSigurnije

Jakov Kiš
Top
More in Novosti
Ivanti upozorava na kritične ranjivosti

Ivanti upozorava na kritične ranjivosti koje napadačima omogućuju neovlašteno udaljeno izvršavanje kôda i podizanje ovlasti. CVE-2025-0282CVSS: 9.0Ranjivi proizvodi: Ivanti Connect...

Close