UPGRD

Tutte le ultime notizie tech e non

Cybersecurity

Fortinet: Vulnerabilità critica sfruttata da hacker, avverte CISA

By ,

Attacco in corso sfrutta falla critica di Fortinet, avverte CISA

Oggi, CISA ha segnalato che un gruppo di hacker sta sfruttando attivamente una vulnerabilità critica di FortiOS che consente l'esecuzione di codice remoto (RCE).

Dettagli della Vulnerabilità

La falla, identificata come CVE-2024-23113, è legata al demone fgfmd, che accetta una stringa di formato controllata esternamente come argomento. Ciò permette ad attori non autenticati di eseguire comandi o codice arbitrario su dispositivi non aggiornati, con attacchi a bassa complessità che non richiedono interazione dell'utente.

Fortinet ha spiegato che il demone vulnerabile fgfmd è presente su FortiGate e FortiManager, gestendo tutte le richieste di autenticazione e i messaggi di keep-alive, oltre a gestire azioni come l'aggiornamento di file o database.

Dispositivi Impattati

  • FortiOS dalla versione 7.0 in poi
  • FortiPAM dalla versione 1.0 in poi
  • FortiProxy dalla versione 7.0 in poi
  • FortiWeb dalla versione 7.4 in poi

Patch e Consigli di Mitigazione

La compagnia ha rivelato e corretto questa vulnerabilità a febbraio, consigliando agli amministratori di rimuovere l'accesso al demone fgfmd per tutte le interfacce come misura di mitigazione per bloccare potenziali attacchi.

"Questa operazione impedirà la scoperta di FortiGate da parte di FortiManager, ma la connessione sarà ancora possibile da FortiGate", ha dichiarato Fortinet.

"Si noti inoltre che una policy locale che consente solo connessioni FGFM da un IP specifico ridurrà la superficie d'attacco, ma non impedirà lo sfruttamento della vulnerabilità da quell'IP. Pertanto, dovrebbe essere considerata una mitigazione parziale".

Agenzie Federali Obbligate ad Aggiornare

Le agenzie federali statunitensi hanno ora l'obbligo di mettere in sicurezza i dispositivi FortiOS nelle loro reti entro tre settimane, entro il 30 ottobre, come richiesto dalla direttiva operativa (BOD 22-01) emessa nel novembre 2021.

CISA ha avvertito: "Queste vulnerabilità rappresentano vettori di attacco frequenti per attori malevoli e costituiscono un rischio significativo per l'infrastruttura federale".

Precedenti Attacchi di Hacker Cinesi

Il MIVD (Servizio di Intelligence Militare e di Sicurezza Olandese) ha avvertito a giugno che hacker cinesi hanno sfruttato un'altra vulnerabilità critica di FortiOS (CVE-2022-42475) tra il 2022 e il 2023, compromettendo e infettando almeno 20.000 dispositivi di sicurezza Fortigate con malware.

FAQ

Qual è la vulnerabilità critica segnalata da CISA?

La vulnerabilità critica segnalata da CISA è identificata come CVE-2024-23113, che consente l'esecuzione di codice remoto (RCE) su dispositivi FortiOS non aggiornati.

Qual è il demone vulnerabile coinvolto nella falla?

Il demone vulnerabile coinvolto è il fgfmd, che gestisce le richieste di autenticazione e i messaggi di keep-alive su dispositivi FortiGate e FortiManager.

Quali dispositivi sono impattati dalla vulnerabilità?

I dispositivi impattati includono FortiOS dalla versione 7.0 in poi, FortiPAM dalla versione 1.0 in poi, FortiProxy dalla versione 7.0 in poi e FortiWeb dalla versione 7.4 in poi.

Cosa consiglia Fortinet per mitigare la vulnerabilità?

Fortinet consiglia di rimuovere l'accesso al demone fgfmd per tutte le interfacce e di implementare una policy locale che consenta solo connessioni FGFM da un IP specifico per ridurre la superficie d'attacco.

Entro quando devono aggiornare i dispositivi le agenzie federali statunitensi?

Le agenzie federali statunitensi devono mettere in sicurezza i dispositivi FortiOS entro tre settimane, entro il 30 ottobre, come richiesto dalla direttiva operativa (BOD 22-01).

Qual è il rischio associato a questa vulnerabilità secondo CISA?

CISA avverte che queste vulnerabilità rappresentano vettori di attacco frequenti per attori malevoli e costituiscono un rischio significativo per l'infrastruttura federale.

Cosa è successo in precedenti attacchi di hacker cinesi?

Hacker cinesi hanno sfruttato un'altra vulnerabilità critica di FortiOS (CVE-2022-42475) tra il 2022 e il 2023, compromettendo e infettando almeno 20.000 dispositivi di sicurezza Fortigate con malware.

Qual è la complessità degli attacchi che sfruttano questa vulnerabilità?

Gli attacchi che sfruttano questa vulnerabilità sono a bassa complessità e non richiedono interazione dell'utente.

Quali azioni gestisce il demone fgfmd?

Il demone fgfmd gestisce tutte le richieste di autenticazione, i messaggi di keep-alive e azioni come l'aggiornamento di file o database.

Cosa significa la mitigazione parziale menzionata da Fortinet?

La mitigazione parziale significa che, sebbene una policy locale possa ridurre la superficie d'attacco, non impedirà completamente lo sfruttamento della vulnerabilità da un IP autorizzato.

Precedente

Falla nella sicurezza di Internet Archive: violati i dati di 31 milioni di utenti

Successivo

Campagna malware colpisce oltre 28.000 persone in Eurasia: ecco come difendersi