CVE-2024-55591: суперадмином в FortiOS теперь может стать каждый

В Fortinet FortiOS обнаружена критическая уязвимость , позволяющая атакующим обходить аутентификацию и получать права супер-администратора на устройствах FortiGate. Уязвимость с идентификатором CVE-2024-55591 активно эксплуатируется в дикой природе, а количество потенциально уязвимых устройств оценивается в десятки тысяч.

Проблема связана с функциональностью jsconsole, представляющей собой веб-консоль для выполнения команд внутри интерфейса управления FortiOS. Уязвимость позволяет злоумышленникам создавать новых администраторов без необходимости аутентификации. Исследователи из Arctic Wolf сообщили, что атаки на FortiGate начались задолго до публичного раскрытия уязвимости, а Fortinet предварительно уведомил клиентов о наличии проблемы, не раскрывая деталей.

Разбор уязвимости показал, что она связана с некорректной обработкой параметра local_access_token, который используется в процессе аутентификации. В результате удаётся обойти проверку инициализации WebSocket-соединения, подменить контекст сессии и получить привилегии супер-администратора. В ходе анализа также обнаружен гонка состояний между WebSocket и Telnet-подключением, позволяющая атакующему отправлять команды до завершения процесса аутентификации.

Исследователи выяснили, что с помощью данной уязвимости можно выполнить любую команду в CLI устройства. В частности, успешная эксплуатация позволяет получить полные права на управление устройством, изменять конфигурацию и создавать новые учётные записи. Это делает уязвимость чрезвычайно опасной для предприятий, использующих Fortinet FortiGate в качестве основного VPN-решения.

Fortinet уже выпустил патчи для затронутых версий FortiOS и FortiProxy, однако большое число устройств до сих пор остаётся уязвимым. Исследовательская группа Shadowserver выявила почти 50 000 инстансов, которые потенциально могут быть атакованы. Эксперты настоятельно рекомендуют срочно обновить системы и отключить доступ к админ-консоли из открытого интернета.

На фоне инцидента были выявлены и другие проблемы в FortiOS, которые пока не получили публичных идентификаторов. По словам специалистов, узкие места в механизме аутентификации Fortinet могут привести к появлению новых атак в будущем. Пока Fortinet не комментирует данные находки, однако они могут быть устранены в будущих обновлениях.

Специалисты из watchTowr опубликовали инструмент для проверки уязвимости, позволяющий администраторам проверить свои системы на наличие данной проблемы. В то же время, вредоносные группы уже активно эксплуатируют уязвимость, что делает её устранение приоритетной задачей для всех владельцев устройств FortiGate.