Datum der Offenlegung (Quelle): Januar 14, 2025
Datum der Meldung als aktiv ausgenutzt (Quelle): Januar 14, 2025
CVE-2024-55591 ist eine Sicherheitslücke bei der Umgehung der Authentifizierung, die die FortiOS-Versionen 7.0.0 bis 7.0.16 und die FortiProxy-Versionen 7.0.0 bis 7.0.19 und 7.2.0 bis 7.2.12 betrifft und einen CVSS-Score von 9.8 hat.
Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, die Node.js Websocket Modul durch speziell gestaltete Anfragen auszunutzen, was ihnen möglicherweise Super-Admin-Rechte über betroffene Systeme gewährt.
Es ist bekannt, dass diese Schwachstelle aktiv ausgenutzt wird. Es gibt mehrere Berichte über Angreifer, die es auf Fortinet-Geräte abgesehen haben, deren Verwaltungsschnittstellen dem öffentlichen Internet ausgesetzt sind. Arctic Wolf hat bereits vor dem Bekanntwerden dieser Schwachstelle Aktivitäten zur Ausnutzung der Schwachstelle identifiziert, einschließlich der Beobachtung von nicht autorisierten administrativen Anmeldungen, Kontoerstellung und Konfigurationsänderungen, die bis Mitte November 2024 zurückreichen. Später wurde festgestellt, dass diese Aktivitäten im Zusammenhang mit dieser Schwachstelle stehen.
Darüber hinaus wurde diese Sicherheitslücke am 14. Januar 2025 in die CISA-Liste der bekannten Sicherheitslücken aufgenommen, was die Dringlichkeit für Unternehmen unterstreicht, sich mit dieser Bedrohung auseinanderzusetzen.
Es wird empfohlen, die öffentliche Zugänglichkeit der Verwaltungsschnittstellen von Netzwerkgeräten nach Möglichkeit zu vermeiden bzw. sie zu sichern, wenn sie öffentlich zugänglich sein müssen.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-55591 - CVSS 9.8 (kritisch) - zugewiesen von Fortinet Inc. |
| Schwachstelle Beschreibung |
Eine Authentifizierungsumgehung unter Verwendung eines alternativen Pfads oder Kanals [CWE-288], die FortiOS und FortiProxy betrifft, kann es einem entfernten Angreifer ermöglichen, über manipulierte Anfragen an das Node.js-Websocket-Modul Super-Admin-Rechte zu erlangen. |
| Datum der Offenlegung |
Januar 14, 2025 |
| Betroffene Vermögenswerte |
Node.js-Websocket-Modul in Fortinet FortiOS und FortiProxy |
| Anfällige Software-Versionen |
- Fortinet FortiOS 7.0.0 bis 7.0.16
- Fortinet FortiProxy 7.2.0 bis 7.2.12
- Fortinet FortiProxy 7.0.0 bis 7.0.19
|
| PoC verfügbar? |
Obwohl es sich nicht um einen offiziellen Exploit handelt, hat WatchTowr Labs ein Python-Skript auf Github veröffentlicht, das erkennt, ob ein Host für den Exploit anfällig ist (der Erkennungsmechanismus unterstützt FortiProxy nicht) |
| Verwertungsstatus |
Diese Schwachstelle wurde der CISA KEV am 14. Januar 2025 hinzugefügt. |
| Patch-Status |
Die folgenden Patches sind mit Installationsanweisungen in Fortinets Sicherheitsempfehlung:
- Fortinet FortiOS 7.0.0 bis 7.0.16 (behoben in 7.0.17 oder höher)
- Fortinet FortiProxy 7.2.0 bis 7.2.12 (behoben in 7.2.13 oder höher)
- Fortinet FortiProxy 7.0.0 bis 7.0.19 (behoben in 7.0.20 oder höher)
|
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 51 exponierte FortiProxy-Instanzen und 3,445,758 exponierte Geräte, auf denen FortiOS läuft. Einige dieser Instanzen überschneiden sich, aber wir sehen eine Gesamtzahl von 3,445,797 Geräte.
16% davon sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen unbedingt anfällig sind, da wir nicht immer über spezifische Versionen verfügen.
Karte der freigegebenen FortiOS- und FortiProxy-Instanzen:
Censys Search Abfrage:
services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
host.services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) or web_entity.instances.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Referenzen
