Una vulnerabilità critica, identificata come CVE-2024-21762, minaccia circa 150,000 sistemi Fortinet FortiOS e FortiProxy, aprendo la porta all’esecuzione di codice remoto senza autenticazione. Questo grave problema di sicurezza è stato confermato dalla CISA americana, che ha segnalato un’attiva sfruttamento da parte degli aggressori.
Dispositivi vulnerabili in tutto il mondo
Nonostante Fortinet abbia affrontato la questione quasi un mese fa, The Shadowserver Foundation ha recentemente rilevato la presenza di quasi 150,000 dispositivi vulnerabili. Secondo Piotr Kijewski di Shadowserver, il numero effettivo potrebbe essere inferiore se gli amministratori hanno applicato delle mitigazioni anziché procedere con l’aggiornamento.
Un aggressore remoto potrebbe sfruttare la CVE-2024-21762, valutata con un punteggio di gravità di 9.8, inviando richieste HTTP appositamente formulate ai dispositivi interessati. I dati di Shadowserver indicano che la maggior parte dei dispositivi vulnerabili si trova negli Stati Uniti, seguiti da India, Brasile e Canada.
Dettagli sull’attacco
Al momento, le informazioni sugli attori delle minacce che sfruttano attivamente questa vulnerabilità sono limitate. Potrebbe essere che l’exploit sia utilizzato in attacchi selettivi da parte di avversari più sofisticati.
La CISA ha aggiunto la CVE-2024-21762 al suo catalogo delle vulnerabilità sfruttate attivamente il giorno successivo all’avviso di Fortinet. Le aziende possono verificare la vulnerabilità dei loro sistemi SSL VPN attraverso uno script Python fornito da BishopFox, una compagnia di sicurezza offensiva.
Impatto sui prodotti Fortinet
FortiOS, il sistema operativo di Fortinet, offre funzionalità di sicurezza avanzate come la protezione da attacchi DoS, prevenzione delle intrusioni (IPS), firewall e servizi VPN. Esso è alla base di tutti i dispositivi della Fortinet Security Fabric, offrendo visibilità e controllo, gestione centralizzata della rete e applicazione coerente delle politiche di sicurezza.
FortiProxy, d’altro canto, è una soluzione di web proxy sicura che offre protezione contro minacce web e DNS, perdita di dati, e integra funzionalità antivirus, prevenzione delle intrusioni e isolamento del browser del cliente.
Questo allarme di sicurezza sottolinea l’importanza per le organizzazioni di monitorare e aggiornare regolarmente i propri sistemi per proteggersi da potenziali exploit.
