Vulnerabilità Critica su FortiOS e FortiProxy: Rilasciate PoC di sfruttamento

Luca Stivali : 30 Gennaio 2025 07:30

I ricercatori di sicurezza di watchTowr Labs hanno rilasciato all’interno del loro canale telegram un Proof Of Concept per lo sfruttamento della vulnerabilità CVE-2024-55591 classificata “Critical” con uno score di 9.6.

Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js.

La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori di watchTowr hanno condotto un’analisi dettagliata della vulnerabilità e come riportato sul loro blog di sicurezza, hanno dimostrato la fattibilità tecnica di poter guadagnare i privilegi di super-admin su un dispositivo vulnerabile; ha supporto di quanto analizzato hanno pubblicato su GitHUB uno POC scritto in Python per sfruttare la vulnerabilità.

Sempre sul repository GitHUB di watchTowrLABS i ricercatori mettono a disposizione uno script Python per la verifica se un Fortigate o un FortiProxy siano vulnerabili alla CVE-2024-55591.

Le raccomandazioni del produttore ma in generale le best practies sono sempre le stesse: disabilitare l’accesso pubblico all’interfaccia amministrativa del firewall, limitarne l’accesso con ACL o filtro su IP sorgenti, monitorare gli avvisi di sicurezza e applicare le patch e gli aggiornamenti.

ArticWolfLabs già a dicembre 2024 aveva osservato attività sospette sui firewall Fortinet esposti su internet dove i therad actors riuscivano ad avere accesso alle interfacce di management e modificare le configurazione dei firewall. Il 14 gennaio 2025 Fortinet conferma la vulnerabilità.

L’entità del problema non è da sottovalutare al 20 Gennaio 2025 Shadowserver Fondation rileva che nel mondo ci sono circa 50.000 esposti e vulnerabili.

Riferimenti:

• WATCHTOWRLABS: https://labs.watchtowr.com/get-fortirekt-i-am-the-super_admin-now-fortios-authentication-bypass-CVE-2024-55591/
• ARTICWOLFLABS: https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/?ref=labs.watchtowr.com
• FORTINET PSIRT: https://www.fortiguard.com/psirt/FG-IR-24-535?ref=labs.watchtowr.com
• GITHUB POC: https://github.com/watchtowrlabs/fortios-auth-bypass-poc-CVE-2024-55591?ref=labs.watchtowr.com
• GITHUB DETECTION TOOL: https://github.com/watchtowrlabs/fortios-auth-bypass-check-CVE-2024-55591/tree/main?ref=labs.watchtowr.com

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli