Avvisi di violazione della sicurezza di FortiOS e FortiProxy
L'Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) e il Centro per la Sicurezza Cyber dell'Australia (ACSC) hanno emesso un'allerta congiunta riguardante un potenziale rischio di sicurezza che riguarda alcuni prodotti Fortinet. La vulnerabilità, associata alle versioni FortiOS 7.0.0 a 7.0.7 e FortiProxy 7.0.0 a 7.0.7, potrebbe consentire a un attaccante remoto di accedere in modo non autorizzato ai prodotti Fortinet interessati.
Gli attori minacciosi sono stati osservati mentre creavano account admin sui dispositivi interessati con nomi utente casuali. Ciò offre un'opportunità agli attaccanti, poiché conoscere il nome utente dell'account admin è generalmente un prerequisito per eseguire tali attacchi e accedere all'Interfaccia della Riga di Comando (CLI). Poiché il websocket targetizzato non è un punto di autenticazione, non c'è nulla che impedisca a un attaccante di forzare la bruteforce del nome utente.
La vulnerabilità, classificata come bypass dell'autenticazione utilizzando un percorso o canale alternativo (CWE-288), potrebbe anche consentire a un attaccante remoto di acquisire privilegi super-admin. Ciò potrebbe consentire agli attori minacciosi di modificare le politiche del firewall, cambiare altre impostazioni e persino creare account utente locali con nomi casuali.
Per mitigare questo rischio, sia CISA che ACSC consigliano agli utenti di implementare i workaround forniti nell'avviso di Fortinet, aggiornare alle ultime versioni di FortiOS e FortiProxy e monitorare e indagare sull'attività sospetta negli ambienti connessi. Inoltre, agli utenti viene consigliato di indagare sui possibili compromessi di questi prodotti utilizzando gli indicatori di compromesso pubblicati.
Fortinet ha incluso anche i workaround nel suo avviso per gli utenti dei prodotti interessati. Questi workaround mirano a minimizzare il rischio di accesso non autorizzato e potenziali violazioni dei dati. Avere un nome utente admin non standard e non indovinabile offre una certa protezione contro l'attacco, poiché rende più difficile per gli attori minacciosi accedere attraverso la forza bruta.
L'avviso elenca anche gli IP associati all'attore minaccioso, che potrebbe aiutare a identificare l'attività sospetta. Inoltre, Fortinet ha fornito possibili indicatori di compromesso nel suo avviso, che potrebbero aiutare le organizzazioni a rilevare e rispondere a eventuali violazioni potenziali in modo più efficace.
Le organizzazioni che utilizzano le versioni interessate di FortiOS, FortiProxy (7.0 - 7.0.16, 7.0 - 7.0.19 e 7.2 - 7.2.12) sono consigliate a prendere immediate azioni per proteggere i loro sistemi e i dati da eventuali accessi non autorizzati. La vulnerabilità rappresenta un significativo potenziale rischio per la sicurezza e un'azione tempestiva è cruciale per garantire la sicurezza dei sistemi interessati.
Leggi anche:
- L' IAA in difficoltà cerca clienti in tempi difficili
- Vietnam co-capogruppo della risoluzione dell'Assemblea generale delle Nazioni Unite su un vertice di emergenza sulla preparazione alle pandemie
- Iniziativa: Capilene 4 Pro con cerniera da Patagonia
- "Masterizzare l'arte di mescolare il suono è quasi uguale all'importanza di ideare il tuo concetto musicale iniziale: guida per principianti nel mixaggio musicale"
