Podatność typu 0-day w Fortinet | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

serwery

Podatność typu 0-day w Fortinet

Aktywnie wykorzystywana luka typu 0-day w interfejsie webowym Fortinet stwarza poważne ryzyko dla bezpieczeństwa. Podatność pozwala na dodanie konta administratora bez uwierzytelnienia, a ataki trwają co najmniej od połowy października. Zalecamy natychmiastowe działania ograniczające ryzyko. 

Charakterystyka podatności

Podatność w zabezpieczeniach Fortinet FortiWeb pozwala na dodanie nowego konta administratora poprzez wysłanie odpowiednio spreparowanego żądania HTTP POST. Nie wymaga ona też wcześniejszego uwierzytelnienia. Wedle ogólnie dostępnych informacji, podatność jest aktywnie wykorzystywana co najmniej od połowy października. 
 
Ataki były odnotowane z różnych adresacji IP, w szczególności z:

  • 107.152.41.19
  • 144.31.1.63
  • 185.192.70.0/24 (zakres)
  • 64.95.13.8

Działania zapobiegawcze

  1. Zaktualizuj oprogramowanie do najnowszej stabilnej wersji FortiWeb 8.0.2.
  2. Zablokuj załączone IoC.
  3. Zweryfikuj logi pod kątem dostępnych IoC.
  4. Cyklicznie monitoruj zmiany w dostępach do panelu administracyjnego FW – zmiany kont, uprawnień lub grup.
  5. Zweryfikuj logi pod kątem nieautoryzowanych prób tworzenia użytkowników, w tym kont o wyższych uprawnieniach typu admin lub podejrzanych prób logowania.
  6. Ogranicz lub wyłącz dostęp do GUI FortiOS z sieci publicznych.
  7. Włącz MFA na wszystkich kontach administracyjnych.
  8. Rozważ wdrożenie reguł WAF/IPS ograniczających podejrzane żądania HTTP POST.