Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Active exploitation of vulnerability (CVE-2024-55591) in FortiOS administrative interface

For English, see below.

Beschrijving

Fortinet heeft bekendgemaakt dat er zich een kwetsbaarheid (CVE-2024-55591) bevindt in de Node.js socket module die onderdeel uitmaakt van de beheerinterface op FortiOS- en FortiProxy-gebaseerde systemen. Middels deze kwetsbaarheid kan een aanvaller op afstand en zonder authenticatie vooraf super-admin privileges verkrijgen. Misbruik is mogelijk wanneer de HTTP(S) beheerinterface van een kwetsbaar systeem is opengesteld richting internet en geen IP-restricties zijn toegepast.

Fortinet geeft aan dat deze kwetsbaarheid inmiddels al actief misbruikt is. ArcticWolf heeft een campagne beschreven waarin een onbekende actor sinds november 2024 misbruik lijkt te hebben gemaakt van deze kwetsbaarheid waarbij in sommige gevallen de initiële toegang is misbruikt voor verdere laterale bewegingen in het netwerk van een slachtoffer.

Kwetsbare versies

De kwetsbaarheid bevindt zich in FortiOS 7.0 en FortiProxy 7.0 en 7.2. Overige versies van FortiOS en FortiProxy zijn niet kwetsbaar. Specifiek bevindt de kwetsbaarheid zich onderstaande versies van deze producten:

  • FortiOS 7.0: versies 7.0.0 t/m 7.0.16
  • FortiProxy 7.0: versies 7.0.0 t/m 7.0.19
  • FortiProxy 7.2: versies 7.2.0 t/m 7.2.12

Oplossingen en tijdelijke mitigaties

Fortinet heeft nieuwe versies van FortiOS en FortiProxy uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden aan deze versie zo spoedig mogelijk te installeren:

  • FortiOS 7.0: upgrade naar versie 7.0.17 of nieuwer
  • FortiProxy 7.0: upgrade naar versie 7.0.20 of nieuwer
  • FortiProxy 7.2: upgrade naar versie 7.2.13 of nieuwer

Daarnaast kan misbruik worden voorkomen door de administratieve interface in het geheel niet beschikbaar te stellen via internet of, indien vereist, hierop strikte IP-restricties toe te passen. Het security bulletin van Fortinet beschrijft de configuratie die kan worden toegepast om een dergelijke IP-restrictie op een Fortinet-device toe te passen.

Detectie van mogelijk misbruik

Misbruik kan worden gedetecteerd door in de logging te zoeken naar succesvolle inlogpogingen op het systeem vanuit “jsconsole”, in combinatie met ongebruikelijke IP-adressen. Bij de nu bekende campagne zijn de IP-adressen 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4 en 8.8.8.8 zichtbaar als bron-IP.

Daarnaast maakt de aanvaller in sommige gevallen een nieuw administratief account aan met een willekeurige naam wat tevens een indicatie van misbruik is.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheid.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Fortinet has announced the discovery of a vulnerability (CVE-2024-55591) in the Node.js socket module, which is part of the administrative interface on FortiOS- and FortiProxy-based systems. This vulnerability allows a remote attacker to gain super-admin privileges without prior authentication. Exploitation is possible if the HTTP(S) administrative interface of a vulnerable system is exposed to the internet without applying IP restrictions.

Fortinet has confirmed that this vulnerability has already been actively exploited. ArcticWolf has documented a campaign in which an unknown actor appears to have exploited this vulnerability since November 2024. In some cases, initial access was used for further lateral movement within the victim’s network.

Vulnerable versions

The vulnerability affects FortiOS 7.0 and FortiProxy 7.0 and 7.2. Other versions of FortiOS and FortiProxy are not affected. Specifically, the vulnerability is present in the following versions:

  • FortiOS 7.0: versions 7.0.0 through 7.0.16
  • FortiProxy 7.0: versions 7.0.0 through 7.0.19
  • FortiProxy 7.2: versions 7.2.0 through 7.2.12

Solutions and workarounds

Fortinet has released updated versions of FortiOS and FortiProxy to address this vulnerability. It is strongly recommended to install these updates as soon as possible:

  • FortiOS 7.0: Upgrade to version 7.0.17 or later
  • FortiProxy 7.0: Upgrade to version 7.0.20 or later
  • FortiProxy 7.2: Upgrade to version 7.2.13 or later

To prevent exploitation, ensure that the administrative interface is not accessible via the internet. If this is required, apply strict IP restrictions. Fortinet’s security bulletin provides guidance on configuring IP restrictions on Fortinet devices.

Detection of possible misuse

Exploitation can be detected by checking logs for successful login attempts from “jsconsole,” combined with unusual IP addresses. In the currently known campaign, the following IP addresses have been observed as source IPs: 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4, and 8.8.8.8.

Additionally, attackers may create a new administrative account with a random name, which could also indicate misuse.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from this vulnerability.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl