18.02.2025 17:21
Ransomware nutzt Sicherheitslücke in FortiOS/FortiProxy Management-Interfaces
CERT.at hat kürzlich Aktivitäten beobachtet, bei denen die Schwachstelle CVE-2024-55591 in FortiOS/FortiProxy als initialer Angriffsvektor für Ransomware-Angriffe genutzt wird.
Die Sicherheitslücke ist seit Mitte Jänner bekannt , Patches stehen bereits zur Verfügung. Heise [1] hat bereits vorige Woche berichtet, dass eine Ausnutzung der Schwachstelle stattfindet, wir hatten diesen Artikel auf unserem Tagesbericht. Die Lücke ermöglicht es die Authentifizierung zu umgehen und kann es ermöglichen, Super-Admin-Rechte zu erlangen. Mit Stand 17.02.2025 sehen wir noch 368 verwundbare IP-Adressen in Österreich. Diese Zahl wirkt für uns ungewöhnlich hoch, wenn man das Alter und die Schwere der Schwachstelle bedenkt.
Unternehmen und Organisationen, die eine veraltete Version von FortiOS/FortiProxy einsetzen, werden dringend dazu angehalten, die verfügbaren Sicherheitsupdates zeitnah einzuspielen, den Zugriff auf die Management-Interfaces zu beschränken und betroffene Systeme forensisch zu untersuchen. Hinweise zu den empfohlenen Maßnahmen entnehmen Sie bitte dem Advisory des Herstellers [2]. Details zur Schwachstelle und IOCs finden Sie ebenso im Blog von Arctic Wolf [3].
Wir haben Internet Service Provider und/oder Netzwerkbetreiber bereits über verwundbare Systeme in ihren Netzen informiert.
[2] https://www.fortiguard.com/psirt/FG-IR-24-535
[3] https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/