A bruteforce hullám közben bukkant fel a Fortinet kritikus hibája

A Fortinet egy kiemelten súlyos, 9,8-as veszélyességű sebezhetőségre figyelmeztetett, amely a FortiSIEM több verzióját is érinti. A probléma az, hogy már jól működő exploit kód is kering az interneten, így a támadók különösebb szakértelem nélkül akár a teljes rendszer felett átvehetik az irányítást. A sérülékenység lehetővé teszi jogosulatlan parancsok lefuttatását, méghozzá úgy, hogy nincs szükség előzetes bejelentkezésre.

Kritikus hiba több verzióban

A veszélyeztetett FortiSIEM kiadások: 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3, valamint minden 6.7.9 előtti verzió. A Fortinet azt javasolja, hogy minden érintett sürgősen frissítsen, átmeneti megoldásként pedig szűkítsék a phMonitor port (7900) elérését.

A támadó egy speciális CLI-kéréssel tud visszaélni a hibával, így teljes hozzáférést szerezhet a kiszolgáltatott rendszerekhez. A beszámolók szerint már működő exploit is terjed, ezért a rendszer védtelenül hagyása különösen veszélyes.

Tömeges próbálkozások Fortinet eszközök ellen

Miközben publikus lett a sebezhetőség, a GreyNoise már augusztus 3-án rögzítette, hogy hirtelen megnőtt a brute-force támadások száma a Fortinet SSL VPN rendszerek ellen. Ezek során nagyszámú jogosulatlan bejelentkezési próbálkozást észleltek, ami gyakran új biztonsági hibák bejelentését szokta megelőzni.

A GreyNoise szerint augusztus 3-án rekordot döntött az ilyen támadási kísérletek száma – két hullámban jelentkeztek: előbb tartós, majd egy hirtelen kitörő támadással. Az első hullám még a FortiOS profilt célozta, míg augusztus 5-től áttértek a FortiManager-FGFM felület támadására, de továbbra is a Fortinet rendszerek maradtak a célkeresztben. Mindez arra utal, hogy a kiberbűnözők gyorsan reagálnak a Fortinet termékcsalád nyilvánosságra kerülő sebezhetőségeire, új eszközöket kipróbálva, ahogy a helyzet változik.

2025, adrienne, go.theregister.com alapján