Az új Fortinet-hiba a legfrissebb tűzfalakat is sebezhetővé teszi

Villámgyors támadások gépi módszerekkel

Az Arctic Wolf kiberbiztonsági elemzői szerint a támadók 2025. január 15. óta automatikusan hoznak létre VPN-hozzáféréssel rendelkező fiókokat, majd néhány másodperc alatt letöltik a tűzfal konfigurációját. Ez a módszer szinte teljesen megegyezik a korábban, 2024 decemberében észlelt támadásokkal. A naplók szerint a támadók felhasználói fiókokat hoznak létre SSO-bejelentkezés után, rendszerint a cloud-init@mail.io cím használatával, egy konkrét, 104.28.244.114-es IP-címet használva. Ezek az adatok minden vizsgált esetben szerepeltek.

Fortinet tanácsai és intézkedései

A Fortinet információbiztonsági vezetője kiemelte: a cég dolgozik a végleges javításon, és amint elkészül, frissített tájékoztatót tesznek közzé. Addig is azt javasolják, hogy a felhasználók korlátozzák tűzfalaik adminisztrátori elérhetőségét az interneten, IP-cím alapú engedélyezési listával. Érdemes kikapcsolni a FortiCloud SSO-t a System -> Settings -> Switch menüben, az Allow administrative login using FortiCloud SSO kapcsolóval.

Mit tegyen, aki támadást észlel?

Azok a felhasználók, akik észlelik a kompromittálódás jeleit, tekintsék az egész konfigurációt, beleértve az LDAP/AD fiókokat is, teljes mértékben kompromittáltnak, és állítsák vissza az eszközt egy garantáltan tiszta mentésből.

Hatósági lépések

A Shadowserver már követi az internetre kitett, sérülékeny FortiCloud SSO-val rendelkező eszközöket. Az amerikai CISA december 16-án felvette a sérülékenységet az azonnali javításra felszólító listájára, és minden szövetségi intézményt felszólított, hogy egy héten belül frissítsen.

2025, adrienne, www.bleepingcomputer.com alapján