Autor: Aleksander Orłowski
Dziś chciałbym zastanowić się z Wami czy możemy ufać temu co nas chroni czyli firewallom i UTMom?
Do napisania tego artykułu skłoniła mnie najnowsza podatność w Fortigate CVE-2024-55591. Otóż dziura ta pozwala zdalnemu atakującemu uzyskanie uprawnień super-administratora poprzez wysyłanie odpowiednio spreparowanych żądań do modułu websocket Node.js. No to rozbierzemy to na małe kawałeczki żeby się temu przyjrzeć…
Po pierwsze by paść ofiarą trzeba dać dostęp do panelu zarządzania przez http/https – czyli strona www przez którą zarządza się urządzeniem. Rekomendacją producenta jest wyłączenie panelu – jakoś nie wierzę by wielu to zrobiło lub chociaż ograniczenie dostępu do niego z określonych adresów – to już bardziej prawdopodobne. Warto tu przypomnieć, że jeżeli ktoś stosuje dobre praktyki, powinien to zrobić przy pierwszej konfiguracji urządzenia. To jest warunek konieczny do przeprowadzenia tego ataku.
Czas na warunek wystarczający, trzeba mieć odpowiednio spreparowane żądanie do websocketa node.js. czyli trzeba wysłać odpowiedni pakiet danych do Fortigate’a ergo trzeba go mieć lub umieć spreparować. Do obydwu tych rzeczy potrzeba wiedzy, czasu i możliwe że pieniędzy (nie wszystko w sieci jest za darmo).
Na pierwszy rzut oka nie jest to taka prosta luka do wykorzystania jeśli admin jest choć trochę skażony zdrowym rozsądkiem i zrobił coś więcej, niż wyciągnięcie urządzenia z pudełka i podłączenie do prądu.
I tu niestety rozczarowanie luka jest aktywnie wykorzystywana – tak więc kamyk do ogródka admina Fortigate’a którego skutecznie zaatakowano.
Podatne są wersje FortiOS od 7.0.0 do 7.0.16 oraz FortiProxy od 7.0.0 do 7.0.19 i od 7.2.0 do 7.2.12
Na co pozwalają te podatności: tworzenie nowych kont administracyjnych, modyfikację zasad zapory i uzyskanie nieautoryzowanego dostępu do SSL VPN
Niestety nie jest to pierwsza wpadka firmy Fortigate, oto kilka wcześniejszych przypadków:
CVE-2022-42475: Podatność typu heap-based buffer overflow w FortiOS SSL-VPN
Podatność CVE-2022-42475 została odkryta w grudniu 2022 roku i dotyczyła FortiOS SSL-VPN. Luka ta umożliwiała zdalnym, nieautoryzowanym atakującym wykonanie dowolnego kodu lub polecenia poprzez specjalnie spreparowane żądania. Eksploatacja tej podatności była skomplikowana i wymagała zaawansowanych umiejętności, co sugeruje, że była wykorzystywana przez zaawansowane grupy atakujące, celujące głównie w duże organizacje, również rządowe. Fortinet opublikował poprawki, które naprawiły tę lukę oraz zalecał natychmiastowe zastosowanie aktualizacji.
CVE-2022-40684: Luka w uwierzytelnianiu w FortiOS i FortiProxy
Podatność CVE-2022-40684 została odkryta w październiku 2022 roku i dotyczyła FortiOS oraz FortiProxy. Luka ta pozwalała na ominięcie uwierzytelnienia i uzyskanie uprawnień administracyjnych poprzez specjalnie spreparowane żądania HTTP lub HTTPS. Fortinet zalecał natychmiastowe zastosowanie aktualizacji, aby zabezpieczyć urządzenia przed potencjalnymi atakami. Eksploatacja tej podatności była również obserwowana w rzeczywistych atakach.
CVE-2023-27997: Podatność typu heap-based buffer overflow w FortiOS i FortiProxy SSL-VPN
Podatność CVE-2023-27997 została odkryta w czerwcu 2023 roku i dotyczyła FortiOS oraz FortiProxy SSL-VPN. Luka ta umożliwiała zdalnym atakującym wykonanie dowolnego kodu lub poleceń poprzez specjalnie spreparowane żądania. Fortinet opublikował poprawki, które naprawiły tę lukę, i zalecał natychmiastowe zastosowanie aktualizacji. Eksploatacja tej podatności była obserwowana w ograniczonej liczbie przypadków.
Co robić, jak żyć?:
- AKTUALIZOWAĆ – mimo, że czasem aktualizacje powodują problemy, bezpieczeństwo musi w tym przypadku być na pierwszym miejscu.
- Używać VPN’ów niezależnych od dostawców UTM np. Wireguard.
- Jak wyciągniesz sprzęt z pudełka poświęć trochę czasu na wstępną konfigurację i zabezpieczenie – po raz kolejny przypominam: dobre praktyki są zawsze dobre.
- Można ufać, ale tylko z zasadą ograniczonego zaufania.