Fortinet révèle le deuxième contournement du pare-feu

Sumner Ferlandil y a 6 heuresDernière mise à jour: février 12, 2025
Fortinet révèle le deuxième contournement du pare-feu

Mise à jour 2/11/25 07:32 PM HE: Après avoir publié notre histoire, Fortinet nous a informés que le nouveau défaut CVE-2025-24472 ajouté au FG-IR-24-535 aujourd’hui n’est pas un jour zéro et a déjà été fixé en janvier.

De plus, même si Avis mis à jour d’aujourd’hui Indique que les deux défauts ont été exploités dans les attaques et comprennent même une solution de contournement pour la nouvelle voie d’exploitation des demandes de procuration CSF, Fortinet dit que seul le CVE-2024-55591 a été exploité.

Fortinet a déclaré à BleepingComputer que si un client avait précédemment mis à niveau en fonction des directives dans FG-IR-24-535 / CVE-2024-55591, il est déjà protégé contre la vulnérabilité nouvellement divulguée.

Le titre de notre histoire a été mis à jour pour refléter ces nouvelles informations, et notre article original est ci-dessous.

Fortinet a averti aujourd’hui que les attaquants exploitent un autre bug zéro-jour désormais réglé à Fortios et Fortiproxy pour détourner les pare-feu Fortinet et violer les réseaux d’entreprise.

Une exploitation réussie de cette vulnérabilité de contournement d’authentification (CVE-2025-24472) permet aux attaquants distants d’obtenir des privilèges de super-administration en faisant des demandes de proxy CSF crafées de manière malveillante.

La faille de sécurité affecte Fortios 7.0.0 à 7.0.16, Fortiproxy 7.0.0 à 7.0.19 et Fortiproxy 7.2.0 à 7.2.12. Fortinet l’a corrigé dans Fortios 7.0.17 ou supérieur et Fortiproxy 7.0.20 / 7.2.13 ou supérieur.

Fortinet a ajouté le bug en tant que nouveau CVE-ID à un Conseil de sécurité publié le mois dernier avertir les clients que les acteurs de la menace exploitaient une vulnérabilité zéro jour dans Fortios et Fortiproxy (suivi comme CVE-2024-55591), ce qui a affecté les mêmes versions logicielles. Cependant, la faille CVE-2024-5591, maintenant fixée, pourrait être exploitée en envoyant des demandes malveillantes au module WebSocket Node.js.

Selon Fortinet, les attaquants exploitent les deux vulnérabilités pour générer des utilisateurs administratifs aléatoires ou locaux sur des appareils affectés, les ajoutant à des groupes d’utilisateurs SSL VPN nouveaux et existants. Ils ont également été vus modifier les politiques de pare-feu et autres configurations et accéder aux instances SSLVPN avec des comptes Rogue précédemment établis « pour obtenir un tunnel au réseau interne.network ».

Alors que Fortinet n’a pas fourni d’informations supplémentaires sur la campagne, la société de cybersécurité Arctic Wolf publié un rapport Avec des indicateurs correspondants de compromis (CIO), affirmant que les pare-feu vulnérables Fortinet Fortigate avec des interfaces de gestion exposés à Internet ont été attaqués depuis au moins la mi-novembre.

« La campagne impliquait des connexions administratives non autorisées sur les interfaces de gestion des pare-feu, la création de nouveaux comptes, l’authentification SSL VPN via ces comptes et divers autres modifications de configuration », a déclaré Arctic Wolf Labs.

« Bien que le vecteur d’accès initial ne soit pas définitivement confirmé, une vulnérabilité zéro jour est très probable. Les organisations devraient désactiver de toute urgence l’accès à la gestion du pare-feu sur les interfaces publiques dès que possible. »

Arctic Wolf Labs a également fourni ce calendrier pour les attaques de masse CVE-2024-55591, affirmant qu’elle comprend quatre phases uniques:

  1. Analyse de vulnérabilité (16 novembre 2024 au 23 novembre 2024)

  2. Reconnaissance (22 novembre 2024 au 27 novembre 2024)

  3. Configuration SSL VPN (4 décembre 2024 au 7 décembre 2024)

  4. Mouvement latéral (16 décembre 2024 au 27 décembre 2024)

« Compte tenu des différences subtiles dans les métiers et les infrastructures entre les intrusions, il est possible que plusieurs individus ou groupes aient été impliqués dans cette campagne, mais l’utilisation de JSConsole était un fil conducteur à tous les niveaux », a-t-il ajouté.

L’Arctic Wolf Labs a ajouté qu’il avait informé Fortinet des attaques le 12 décembre et a reçu la confirmation de l’équipe de réponse aux incidents de sécurité des produits de la société (PSIRT) cinq jours plus tard que l’activité était connue et déjà sous enquête.

Fortinet a conseillé des administrateurs qui ne peuvent pas immédiatement déployer les mises à jour de sécurité pour sécuriser les pare-feu vulnérables pour désactiver l’interface administrative HTTP / HTTPS ou limiter les adresses IP qui peuvent l’atteindre via des politiques locales en tant que solution de contournement.

BleepingComputer a contacté un porte-parole de Fortinet pour commenter mais n’a pas entendu dire au moment de la publication.

Sumner Ferlandil y a 6 heuresDernière mise à jour: février 12, 2025
News 24 est un site d’information. Les actualités les plus importantes sont collectées à l’aide d’un algorithme d’acceptation automatique et de traduction automatique des actualités.