Vulnerabilità Zero-Day Colpisce i Firewall Fortinet FortiGate

La società di cybersecurity Arctic Wolf ha rivelato venerdì che attori malevoli hanno recentemente preso di mira i dispositivi firewall Fortinet FortiGate con interfacce di gestione esposte su Internet pubblico in una sospetta campagna zero-day.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola contro i firewall Fortinet è iniziata a metà novembre 2024. Attori malevoli sconosciuti hanno alterato le configurazioni dei firewall accedendo alle interfacce di gestione sui firewall interessati ed estraendo credenziali utilizzando DCSync in ambienti compromessi.

“La campagna ha coinvolto accessi amministrativi non autorizzati sulle interfacce di gestione dei firewall, creazione di nuovi account, autenticazione SSL VPN attraverso quegli account e vari altri cambiamenti di configurazione,” hanno scritto i ricercatori di sicurezza di Arctic Wolf in un post sul blog pubblicato la scorsa settimana.

Sebbene il vettore di accesso iniziale utilizzato in questa campagna rimanga attualmente sconosciuto, Arctic Wolf Labs è molto fiduciosa che una “campagna di sfruttamento di massa” di una vulnerabilità zero-day sia probabile, considerando le tempistiche ristrette tra le organizzazioni interessate e la gamma di versioni del firmware colpite.

Le versioni del firmware comprese tra 7.0.14 e 7.0.16 sono state prevalentemente colpite, rilasciate rispettivamente a febbraio 2024 e ottobre 2024.

Arctic Wolf Labs ha attualmente identificato quattro fasi separate dell’attacco della campagna che ha preso di mira i dispositivi FortiGate vulnerabili tra novembre 2024 e dicembre 2024:

Fase 1: Scansione delle vulnerabilità (16 novembre 2024 - 23 novembre 2024)

Fase 2: Ricognizione (22 novembre 2024 - 27 novembre 2024)

Fase 3: Configurazione SSL VPN (4 dicembre 2024 - 7 dicembre 2024)

Fase 4: Movimento Laterale (16 dicembre 2024 - 27 dicembre 2024)

Nella prima fase, gli attori malevoli hanno condotto scansioni delle vulnerabilità e hanno utilizzato sessioni jsconsole con connessioni da e verso indirizzi IP insoliti, come indirizzi di loopback (ad es., 127.0.0.1) e risolutori DNS popolari tra cui Google Public DNS e Cloudflare, rendendoli un obiettivo ideale per la caccia alle minacce.

Nella fase di ricognizione, gli attaccanti hanno effettuato i primi cambiamenti di configurazione non autorizzati in diverse organizzazioni vittime per verificare se avevano ottenuto accesso per apportare modifiche sui firewall sfruttati.

Durante la terza fase della campagna, gli attori malevoli hanno apportato cambiamenti sostanziali ai dispositivi compromessi per stabilire l’accesso SSL VPN.

In alcune intrusioni, hanno creato nuovi account super admin, mentre in altre hanno dirottato account esistenti per ottenere accesso SSL VPN. Gli attori malevoli hanno anche creato nuovi portali SSL VPN dove gli account utente sono stati aggiunti direttamente.

Nell’ultima fase, dopo aver ottenuto con successo l’accesso SSL VPN all’interno dell’ambiente dell’organizzazione vittima, gli attori malevoli hanno utilizzato la tecnica DCSync per estrarre credenziali per il movimento laterale.

Secondo la società di cybersecurity, gli attori malevoli sono stati rimossi dai sistemi interessati prima di poter procedere.

Artic Wolf Labs ha notificato Fortinet riguardo all’attività osservata in questa campagna il 12 dicembre 2024. FortiGuard Labs PSIRT ha confermato il 17 dicembre 2024 di essere a conoscenza dell’attività nota e sta attivamente indagando sulla questione.

Per proteggersi da tali problemi di sicurezza noti, Artic Wolf Labs raccomanda alle organizzazioni di disabilitare immediatamente l’accesso alla gestione del firewall su interfacce pubbliche e limitare l’accesso a utenti fidati.

Consiglia inoltre di aggiornare regolarmente il firmware sui dispositivi firewall all’ultima versione per proteggere contro vulnerabilità note.