CVE-2024-55591: Lỗ hổng ZeroDay mới đang bị khai thác trong các sản phẩm của FORTINET

Phía FPT Threat Intelligence ghi nhận được nguồn thông tin về việc đăng nhập trái phép vào giao diện quản lý của tường lửa, tạo tài khoản mới, xác thực SSL VPN qua các tài khoản đó và thực hiện các thay đổi cấu hình khác nhau. Hoạt động độc hại này được cho là bắt đầu vào cuối năm 2024, với việc các đối tượng tấn công không xác định truy cập trái phép vào giao diện quản lý của các tường lửa bị ảnh hưởng để thay đổi cấu hình và trích xuất thông tin xác thực bằng cách sử dụng kỹ thuật DCSync.

Thông tin chi tiết

• Mã CVE: CVE-2024-55591

• Điểm CVSS: 9.6 (Nghiêm trọng)

• Nhà sản xuất: Fortinet

• Sản phẩm bị ảnh hưởng: FortiOS và FortiProxy

• Ngày công bố: 14/01/2025

• Mô tả: Lỗ hổng Authentication Bypass (CWE-288) trong FortiOS và FortiProxy cho phép kẻ tấn công từ xa có thể đạt được đặc quyền super-admin thông qua các yêu cầu được tạo đặc biệt đến module websocket Node.js của thiết bị.

Các phiên bản bị ảnh hưởng

• FortiOS: Từ phiên bản 7.0.0 đến 7.0.16

• FortiProxy: Từ phiên bản 7.0.0 đến 7.0.19

• FortiProxy: Từ phiên bản 7.2.0 đến 7.2.12

Chi tiết kỹ thuật tấn công

Vector tấn công

• Khai thác thông qua giao diện quản lý được phơi bày ra internet

• Sử dụng giao diện jsconsole từ các địa chỉ IP bất thường

• Thực hiện các yêu cầu đặc biệt đến module websocket Node.js

Các giai đoạn tấn công

1. Giai đoạn Trinh sát:

   Quét lỗ hổng và thay đổi cấu hình đầu ra từ "standard" sang "more", kẻ tấn công đăng nhập vào giao diện quản lý tường lửa để thay đổi cấu hình, bao gồm việc chuyển cài đặt xuất dữ liệu từ "standard" sang "more" trong giai đoạn trinh sát ban đầu, trước khi thực hiện các thay đổi sâu rộng hơn để tạo tài khoản super admin mới.

2. Giai đoạn Xâm nhập

   Thiết lập tối đa 6 tài khoản người dùng cục bộ mới cho mỗi thiết bị, những tài khoản super admin mới này sau đó được sử dụng để thiết lập tới sáu tài khoản người dùng cục bộ mới cho mỗi thiết bị và thêm chúng vào các nhóm đã được tổ chức nạn nhân tạo trước đó cho quyền truy cập SSL VPN. Trong các trường hợp khác, các tài khoản hiện có bị chiếm quyền sử dụng và được thêm vào các nhóm có quyền VPN.

3. Giai đoạn Mở rộng Quyền truy cập

   • Thêm tài khoản vào nhóm SSL VPN hiện có

   • Tạo cổng SSL VPN mới

   • Thiết lập đường hầm VPN từ các nhà cung cấp hosting VPS

4. Giai đoạn Thu thập Thông tin

   • Sử dụng kỹ thuật DCSync để trích xuất thông tin đăng nhập

   • Thực hiện di chuyển ngang trong mạng để khai thác

Lỗ hổng CVE-2024-55591 đã và đang bị khai thác tích cực trong thời gian gần đây, chính vì thế cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) thêm lỗ hổng này vào danh mục Lỗ hổng Được Khai thác đã Biết (KEV), yêu cầu các cơ quan liên bang phải áp dụng bản vá trước ngày 21 tháng 1 năm 2025.

Khuyến nghị

Phía FPT Threat Intelligence đề xuất các biện pháp nhằm phòng chống lỗ hổng tấn công nguy hiểm này như sau:

Chủ chốt vẫn là cập nhật phiên bản từ hãng Foritnet

• FortiOS: Nâng cấp lên phiên bản 7.0.17 hoặc cao hơn

• FortiProxy 7.0.x: Nâng cấp lên phiên bản 7.0.20 hoặc cao hơn

• FortiProxy 7.2.x: Nâng cấp lên phiên bản 7.2.13 hoặc cao hơn

Các biện pháp giảm thiểu tạm thời

• Vô hiệu hóa giao diện quản trị HTTP/HTTPS là biện pháp trực tiếp và hiệu quả nhất để ngăn chặn truy cập trái phép vào giao diện quản trị.

• Ggiới hạn địa chỉ IP được phép truy cập. Thực hiện các bước sau:

Bước 1: Cấu hình danh sách các địa chỉ IP được phép truy cập

shellCopyEditconfig firewall address
edit "my_allowed_addresses"
set subnet <địa_chỉ_IP hoặc mạng con được phép>
next
end

Bước 2: Tạo nhóm địa chỉ cho các IP quản trị

shellCopyEditconfig firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
next
end

Bước 3: Tạo chính sách local-in để giới hạn truy cập vào giao diện quản trị (ví dụ: trên cổng port1)

shellCopyEditconfig firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next

edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
next
end

Khuyến nghị bổ sung

1. Kiểm tra logs để phát hiện dấu hiệu xâm nhập

2. Thay đổi tất cả thông tin xác thực sau khi cập nhật

3. Rà soát lại cấu hình VPN và các tài khoản người dùng

4. Triển khai giám sát chủ động cho các hoạt động đáng ngờ

Tham khảo

• Cảnh báo của CISA <https://www.cve.org/CVERecord?id=CVE-2024-55591>

• Thông báo bảo mật của Fortinet (FG-IR-24-535)<https://fortiguard.fortinet.com/psirt/FG-IR-24-535>

• Phân tích của Bleeping Computer<https://www.bleepingcomputer.com/news/security/fortinet-warns-of-auth-bypass-zero-day-exploited-to-hijack-firewalls/\>