Тысячи устройств Fortinet могут подвергнуться атаке из-за проблем с безопасностью

Эксперты предупреждают, что у хакеров есть пул из почти 150 000 уязвимых экземпляров Fortinet FortiOS и FortiProxy, которые они могут использовать для выполнения вредоносного кода без аутентификации.

Месяц назад компания Fortinet выпустила патч для критической уязвимости, отмеченной как CVE-2024-21762 (оценка серьезности 9,8), но, похоже, многие администраторы не слишком усердно устанавливают исправления. Что еще хуже, эта проблема уже была добавлена в список известных эксплуатируемых уязвимостей (KEV) Агентства кибербезопасности и безопасности инфраструктуры (CISA), а это означает, что хакеры активно этим пользуются.

Однако подробностей о том, как хакеры воспользовались этой уязвимостью, мало. Это может означать либо то, что публичные платформы не демонстрируют подобную активность, либо уязвимость используется высококвалифицированными злоумышленниками.

Исправление недостатков

Теперь, BleepingComputer поговорил с Петром Киевским из Shadowserver, который сказал, что организация сканирует Интернет на наличие уязвимых версий, но, поскольку также доступны обходные пути и меры по смягчению последствий, возможно, количество уязвимых конечных точек несколько меньше. По данным организации, большинство потенциальных целей находилось в США (24 000), за ними следовали Индия, Бразилия и Канада.

Согласно Национальной базе данных уязвимостей, эта критическая уязвимость представляет собой ошибку записи за пределами границ, от которой страдают несколько версий FortiOS и FortiProxy. Теоретически злоумышленник может выполнить несанкционированный код на уязвимых устройствах, используя специально созданные запросы.

Продукты Fortinet популярны среди малого и среднего бизнеса (SMB), что делает их основной мишенью для киберпреступников. В результате компания часто выпускает исправления безопасности и призывает клиентов применять их без колебаний.

В начале июля 2023 года сообщалось, что «сотни тысяч» межсетевых экранов FortiGate уязвимы к CVE-2023-27997, уязвимости переполнения буфера в куче со степенью серьезности 9,8.

Уязвимость затронула устройства FortiOS и FortiProxy с включенным SSL-VPN. В марте того же года неизвестные хакеры атаковали определенные правительственные сети США с помощью уязвимости нулевого дня, обнаруженной в продукте Fortinet. Позже сообщалось, что злоумышленники злоупотребили CVE-2022-41328 — неправильным ограничением пути к уязвимости ограниченного каталога («обход пути») [CWE-22] в FortiOS, которая могла позволить привилегированному злоумышленнику «читать и записывать произвольные файлы с помощью специально созданных команд CLI».