-
09/04/2020
-
93
-
646 bài viết
Tường lửa của Fortinet bị xâm nhập bởi lỗ hổng zero-day
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên internet.
View attachment 16736
Chiến dịch này bắt đầu từ giữa tháng 11/2024, với các hoạt động bao gồm truy cập trái phép vào giao diện quản lý, thay đổi cấu hình, tạo tài khoản quản trị cấp cao và thu thập thông tin xác thực bằng kỹ thuật DCSync. Điểm nổi bật là tin tặc đã lợi dụng giao diện jsconsole từ một số địa chỉ IP bất thường để thực hiện các hành vi này.
Các cuộc tấn công được thực hiện qua việc khai thác lỗ hổng zero-day trong các phiên bản firmware từ 7.0.14 đến 7.0.16, với các giai đoạn tấn công rõ ràng: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình và di chuyển ngang qua hệ thống. Tin tặc đã tạo tài khoản mới, chiếm quyền các tài khoản hiện có và thiết lập cổng SSL VPN để tiếp tục xâm nhập sâu hơn vào hệ thống.
Fortinet đã xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS: 9.6) trong FortiOS và FortiProxy, cho phép kẻ tấn công chiếm quyền quản trị qua các yêu cầu tùy chỉnh đến module Node.js websocket. Lỗ hổng này đã bị khai thác để thực hiện các hành vi tấn công, bao gồm tạo tài khoản quản trị, thay đổi chính sách tường lửa và thêm tài khoản vào nhóm người dùng SSL VPN.
Để giảm thiểu rủi ro, các tổ chức nên tránh công khai giao diện quản lý tường lửa lên internet và chỉ cho phép người dùng đáng tin cậy truy cập. Fortinet cũng khuyến cáo các tổ chức cập nhật lên phiên bản mới nhất:
- Vô hiệu hóa giao diện quản trị HTTP/HTTPS
- Giới hạn địa chỉ IP có thể truy cập vào giao diện quản trị thông qua chính sách cục bộ
Chiến dịch tấn công này mang tính cơ hội, không giới hạn vào một ngành hay quy mô tổ chức cụ thể, với mục tiêu chính là khai thác lỗ hổng để xâm nhập và chiếm quyền kiểm soát hệ thống mạng.
View attachment 16736
Chiến dịch này bắt đầu từ giữa tháng 11/2024, với các hoạt động bao gồm truy cập trái phép vào giao diện quản lý, thay đổi cấu hình, tạo tài khoản quản trị cấp cao và thu thập thông tin xác thực bằng kỹ thuật DCSync. Điểm nổi bật là tin tặc đã lợi dụng giao diện jsconsole từ một số địa chỉ IP bất thường để thực hiện các hành vi này.
Các cuộc tấn công được thực hiện qua việc khai thác lỗ hổng zero-day trong các phiên bản firmware từ 7.0.14 đến 7.0.16, với các giai đoạn tấn công rõ ràng: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình và di chuyển ngang qua hệ thống. Tin tặc đã tạo tài khoản mới, chiếm quyền các tài khoản hiện có và thiết lập cổng SSL VPN để tiếp tục xâm nhập sâu hơn vào hệ thống.
Fortinet đã xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS: 9.6) trong FortiOS và FortiProxy, cho phép kẻ tấn công chiếm quyền quản trị qua các yêu cầu tùy chỉnh đến module Node.js websocket. Lỗ hổng này đã bị khai thác để thực hiện các hành vi tấn công, bao gồm tạo tài khoản quản trị, thay đổi chính sách tường lửa và thêm tài khoản vào nhóm người dùng SSL VPN.
Để giảm thiểu rủi ro, các tổ chức nên tránh công khai giao diện quản lý tường lửa lên internet và chỉ cho phép người dùng đáng tin cậy truy cập. Fortinet cũng khuyến cáo các tổ chức cập nhật lên phiên bản mới nhất:
- FortiOS 7.0.17 trở lên
- FortiProxy 7.0.20 hoặc 7.2.13 trở lên
- Vô hiệu hóa giao diện quản trị HTTP/HTTPS
- Giới hạn địa chỉ IP có thể truy cập vào giao diện quản trị thông qua chính sách cục bộ
Chiến dịch tấn công này mang tính cơ hội, không giới hạn vào một ngành hay quy mô tổ chức cụ thể, với mục tiêu chính là khai thác lỗ hổng để xâm nhập và chiếm quyền kiểm soát hệ thống mạng.
Theo: TheHackerNews