Ataki na oprogramowanie Fortinet
Powstała nowa grupa ransomware Mora_001, która w ostatnim czasie wykazuje wzmożoną aktywność. Od stycznia do marca 2025 roku zespoły cyberbezpieczeństwa zaobserwowały intensywne próby wykorzystania przez nią podatności CVE-2024-55591 oraz CVE-2025-24472 w produktach Fortinet.
Jak działają
Grupa Mora_001 wykorzystuje podatności w rozwiązaniach Fortinet. Za ich pomocą tworzą nowe konta administracyjne systemów lokalnych oraz kompromitacji infrastruktury ofiary.
Forescout Research opublikowało w środę raport, który informuje, że w pierwszym kwartale 2025 roku ich analitycy zidentyfikowali serię włamań, które rozpoczęły się od wykorzystania błędów mających wpływ na urządzenia zapory Fortigate i zakończyły się wdrożeniem nowej odmiany ransomware, nazywanej SuperBlack.
Mora_001 do przeprowadzania ataków wdraża właśnie SuperBack. Według Forescout takie działanie łączy elementy ataków oportunistycznych z powiązaniami z ekosystemem LockBit.
LockBit był jedną z najbardziej skutecznych grup ransomware. Międzynarodowa operacja organów ścigania jednak zneutralizowała wiele narzędzi i systemów używanych przez ich operatorów, co zdezintegrowało tę grupę.
Odmiana ransomware zaobserwowana w incydentach wywołanych przez Mora_001 bardzo przypomina LockBit 3.0 (LockBit Black). Główne różnice dotyczą listu z żądaniem okupu pozostawionego po zaszyfrowaniu i niestandardowego pliku wykonywalnego do eksfiltracji danych. Mora_001 wykorzystuje program LockBit, modyfikując strukturę notatki o okupie poprzez usunięcie marki LockBit, i stosuje własne narzędzie do eksfiltracji. Podobieństwo w działaniu sprawiło, że osoby reagujące na incydenty błędnie uznały, że Mora_001 jest prawdopodobnie członkiem LockBit.
Jak zapobiegać tym atakom
Najnowsza aktualizacja Fortinet powinna mitygować obie luki. Najnowsze raporty sugerują, że sprawcy zagrożeń wykorzystują podmioty, które nie zastosowały poprawki lub nie wzmocniły konfiguracji swoich zapór, gdy luka została ujawniona.
Aktywnie eksploitowane podatności w FortiOS, FortiProxy
W urządzeniach od firmy Fortinet zidentyfikowano w ostatnim czasie dwie podatności (w tym jedną krytyczną). Na podstawie dostępnych publikacji wiadomo, że podatność jest wykorzystywana w realnym środowisku od grudnia 2024 roku.
Opis istniejących podatności:
CVE-2024-55591
Wynik CVSS: 9.8 Critical
W FortiOS oraz FortiProxy wykryto luki w zabezpieczeniach umożliwiające ominięcie uwierzytelniania i przejęcie urządzenia z poziomu sieci. Luka ta umożliwia atakującemu uzyskanie zdalnie uprawnień administratora za pośrednictwem odpowiednio spreparowanych żądań. W rezultacie może prowadzić to do zmian w konfiguracji firewalla, utworzenia tunelowania ruchu atakującego do zainfekowanej sieci oraz dodanie nowych kont administratorskich.
Wpływ: Wykonanie nieautoryzowanego kodu lub poleceń
Których wersji dotyczy luka:
- FortiOS 7.0
- FortiProxy 7.2
- FortiProxy 7.0
CVE-2025-24472
Wynik: 8.1 High
Luka w zabezpieczeniach umożliwia ominięcie uwierzytelniania poprzez użycie alternatywnej ścieżki lub kanału. Podatność umożliwia zdalnemu atakującemu uzyskanie uprawnień administratora za pośrednictwem spreparowanych żądań do modułu websocket Node.js lub za pośrednictwem spreparowanych żądań proxy CSF.
Których wersji dotyczy luka:
- FortiOS w wersjach od 7.0.0 do 7.0.16
- FortiProxy w wersjach od 7.2.0 do 7.2.12 i od 7.0.0 do 7.0.19
Jak się ochronić? Działania zapobiegawcze
Zaleca się aktualizację oprogramowania zgodnie z poniższymi danymi:
- FortiOS 7.0 (7.0.0 do 7.0.16) - aktualizacja do wersji 7.0.17 lub nowszej
- FortiProxy 7.2 (7.2.0 do 7.2.12) - aktualizacja do wersji 7.2.13 lub nowszej
- FortiProxy 7.0 (7.0.0 do 7.0.19) - aktualizacja do wersji 7.0.20 lub nowszej
Dodatkowo możliwe są jeszcze dwie drogi, które pozwalają na obejście powyższego problemu:
- wyłączenie interfejsu administracyjnego HTTP/HTTPS
- ograniczenie adresów IP, które mogą łączyć się z interfejsem administracyjnym za pomocą lokalnych polityk.