Fortinet waarschuwt organisaties voor een actief misbruikte kwetsbaarheid in FortiOS en FortiProxy waardoor aanvallers kwetsbare apparaten op afstand kunnen overnemen. Fortinet heeft updates uitgebracht om het probleem te verhelpen. De impact van de kwetsbaarheid (CVE-2024-55591) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en vpn-systemen. FortiProxy is een webgateway. CVE-2024-55591 betreft een ‘authentication bypass’. Een aanvaller kan door het versturen van een speciaal geprepareerd request naar de Node.js websocket module ‘super-admin privileges’ krijgen. Fortinet adviseert klanten om de update te installeren. Als workaround wordt aangeraden om de HTTP/HTTPS admin-interface uit te schakelen of toegang hiertoe te beperken. Fortinet heeft nog geen details over de aanvallen gegeven.

Fortinet geeft wel verschillende Indicators of Compromise, zoals door de aanvallers gebruikte ip-adressen. Daarmee kunnen organisaties kijken of ze zijn gecompromitteerd. Een aantal van de ip-adressen die Fortinet noemt verschenen vorige week in een blogposting van securitybedrijf Arctic Wolf. Dat schrijft over een campagne gericht tegen Fortinet FortiGate-firewalls die sinds halverwege november plaatsvindt. Arctic Wolf zegt de gebruikte aanvalsvector niet te kennen, maar stelt dat grootschalig misbruik van een zerodaylek waarschijnlijk is.