For English, see below.
Beschrijving
Fortinet heeft bekendgemaakt dat er zich een kwetsbaarheid (CVE-2024-55591) bevindt in de Node.js socket module die onderdeel uitmaakt van de beheerinterface op FortiOS- en FortiProxy-gebaseerde systemen. Middels deze kwetsbaarheid kan een aanvaller op afstand en zonder authenticatie vooraf super-admin privileges verkrijgen. Misbruik is mogelijk wanneer de HTTP(S) beheerinterface van een kwetsbaar systeem is opengesteld richting internet en geen IP-restricties zijn toegepast.
Fortinet geeft aan dat deze kwetsbaarheid inmiddels al actief misbruikt is. ArcticWolf heeft een campagne beschreven waarin een onbekende actor sinds november 2024 misbruik lijkt te hebben gemaakt van deze kwetsbaarheid waarbij in sommige gevallen de initiële toegang is misbruikt voor verdere laterale bewegingen in het netwerk van een slachtoffer.
Kwetsbare versies
De kwetsbaarheid bevindt zich in FortiOS 7.0 en FortiProxy 7.0 en 7.2. Overige versies van FortiOS en FortiProxy zijn niet kwetsbaar. Specifiek bevindt de kwetsbaarheid zich onderstaande versies van deze producten:
- FortiOS 7.0: versies 7.0.0 t/m 7.0.16
- FortiProxy 7.0: versies 7.0.0 t/m 7.0.19
- FortiProxy 7.2: versies 7.2.0 t/m 7.2.12
Oplossingen en tijdelijke mitigaties
Fortinet heeft nieuwe versies van FortiOS en FortiProxy uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden aan deze versie zo spoedig mogelijk te installeren:
- FortiOS 7.0: upgrade naar versie 7.0.17 of nieuwer
- FortiProxy 7.0: upgrade naar versie 7.0.20 of nieuwer
- FortiProxy 7.2: upgrade naar versie 7.2.13 of nieuwer
Daarnaast kan misbruik worden voorkomen door de administratieve interface in het geheel niet beschikbaar te stellen via internet of, indien vereist, hierop strikte IP-restricties toe te passen. Het security bulletin van Fortinet beschrijft de configuratie die kan worden toegepast om een dergelijke IP-restrictie op een Fortinet-device toe te passen.
Detectie van mogelijk misbruik
Misbruik kan worden gedetecteerd door in de logging te zoeken naar succesvolle inlogpogingen op het systeem vanuit “jsconsole”, in combinatie met ongebruikelijke IP-adressen. Bij de nu bekende campagne zijn de IP-adressen 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4 en 8.8.8.8 zichtbaar als bron-IP.
Daarnaast maakt de aanvaller in sommige gevallen een nieuw administratief account aan met een willekeurige naam wat tevens een indicatie van misbruik is.
Meer informatie
Managed Security Services (MSS) klanten
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheid.
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.
===== ENGLISH =====
Description
Fortinet has announced the discovery of a vulnerability (CVE-2024-55591) in the Node.js socket module, which is part of the administrative interface on FortiOS- and FortiProxy-based systems. This vulnerability allows a remote attacker to gain super-admin privileges without prior authentication. Exploitation is possible if the HTTP(S) administrative interface of a vulnerable system is exposed to the internet without applying IP restrictions.
Fortinet has confirmed that this vulnerability has already been actively exploited. ArcticWolf has documented a campaign in which an unknown actor appears to have exploited this vulnerability since November 2024. In some cases, initial access was used for further lateral movement within the victim’s network.
Vulnerable versions
The vulnerability affects FortiOS 7.0 and FortiProxy 7.0 and 7.2. Other versions of FortiOS and FortiProxy are not affected. Specifically, the vulnerability is present in the following versions:
- FortiOS 7.0: versions 7.0.0 through 7.0.16
- FortiProxy 7.0: versions 7.0.0 through 7.0.19
- FortiProxy 7.2: versions 7.2.0 through 7.2.12
Solutions and workarounds
Fortinet has released updated versions of FortiOS and FortiProxy to address this vulnerability. It is strongly recommended to install these updates as soon as possible:
- FortiOS 7.0: Upgrade to version 7.0.17 or later
- FortiProxy 7.0: Upgrade to version 7.0.20 or later
- FortiProxy 7.2: Upgrade to version 7.2.13 or later
To prevent exploitation, ensure that the administrative interface is not accessible via the internet. If this is required, apply strict IP restrictions. Fortinet’s security bulletin provides guidance on configuring IP restrictions on Fortinet devices.
Detection of possible misuse
Exploitation can be detected by checking logs for successful login attempts from “jsconsole,” combined with unusual IP addresses. In the currently known campaign, the following IP addresses have been observed as source IPs: 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4, and 8.8.8.8.
Additionally, attackers may create a new administrative account with a random name, which could also indicate misuse.
More information
Managed Security Services (MSS) customers
If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from this vulnerability.
Questions
For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |