Orange ostrzega o nowym zagrożeniu
CERT Orange Polska informuje o krytycznej luce zero-day (CVE-2024-55591) w urządzeniach Fortinet, która jest już aktywnie wykorzystywana przez cyberprzestępców. Użytkownicy tych urządzeń są proszeni o weryfikację wersji systemu operacyjnego i natychmiastowe zastosowanie dostępnych poprawek. Według danych firmy Arctic Wolf, skanowanie w poszukiwaniu podatności trwa od połowy listopada 2024 roku, a od 12 grudnia 2024 roku obserwuje się intensywne przejmowanie urządzeń przez atakujących. Luka dotyczy: FortiOS w wersjach od 7.0.0 do 7.0.16, FortiProxy w wersjach od 7.0.0 do 7.0.19 i od 7.2.0 do 7.2.12. Atakujący wykorzystują podatność w module websocket Node.js, by uzyskać uprawnienia superadministratora. Na zaatakowanych urządzeniach odnotowano: nieautoryzowane tworzenie użytkowników administracyjnych, zmiany w zasadach zapory sieciowej, nieuprawniony dostęp do SSL VPN. Rekomendacje Fortinet: Tymczasowo wyłączyć interfejs administracyjny HTTP/HTTPS lub ograniczyć dostęp tylko do wybranych adresów IP. Jak najszybciej zainstalować opublikowane poprawki bezpieczeństwa. CERT Orange Polska podkreśla, że szybka reakcja administratorów może zapobiec eskalacji ataków i ochronić sieci przed przejęciem.
CERT Orange Polska informuje o krytycznej luce zero-day (CVE-2024-55591) w urządzeniach Fortinet, która jest już aktywnie wykorzystywana przez cyberprzestępców. Użytkownicy tych urządzeń są proszeni o weryfikację wersji systemu operacyjnego i natychmiastowe zastosowanie dostępnych poprawek.
Według danych firmy Arctic Wolf, skanowanie w poszukiwaniu podatności trwa od połowy listopada 2024 roku, a od 12 grudnia 2024 roku obserwuje się intensywne przejmowanie urządzeń przez atakujących. Luka dotyczy:
- FortiOS w wersjach od 7.0.0 do 7.0.16,
- FortiProxy w wersjach od 7.0.0 do 7.0.19 i od 7.2.0 do 7.2.12.
Atakujący wykorzystują podatność w module websocket Node.js, by uzyskać uprawnienia superadministratora. Na zaatakowanych urządzeniach odnotowano:
- nieautoryzowane tworzenie użytkowników administracyjnych,
- zmiany w zasadach zapory sieciowej,
- nieuprawniony dostęp do SSL VPN.
Rekomendacje Fortinet:
- Tymczasowo wyłączyć interfejs administracyjny HTTP/HTTPS lub ograniczyć dostęp tylko do wybranych adresów IP.
- Jak najszybciej zainstalować opublikowane poprawki bezpieczeństwa.
CERT Orange Polska podkreśla, że szybka reakcja administratorów może zapobiec eskalacji ataków i ochronić sieci przed przejęciem.
