Ponad 86 000 urządzeń z krytyczną luką zabezpieczeń. Przestępcy działają

Według najnowszych danych opublikowanych przez organizację Shadowserver, ponad 86 000 instancji Fortinet wciąż pozostaje podatnych na krytyczną lukę w zabezpieczeniach, która jest aktywnie wykorzystywana przez cyberprzestępców.

Pomimo ciągłych prób zabezpieczenia infrastruktury, liczba urządzeń narażonych na ataki zmniejszyła się jedynie nieznacznie – w niedzielę odnotowano 86 602 podatnych adresów IP, co jest minimalnym spadkiem w porównaniu z 87 930 z dnia poprzedniego. Zdecydowana większość narażonych na atak urządzeń znajduje się w Azji, gdzie zidentyfikowano aż 38 778 adresów IP podatnych na tę lukę. W Ameryce Północnej problem dotyczy 21 262 instancji, a w Europie 16 381. 

Po 9 miesiącach od zgłoszenia, krytyczna luka zabezpieczeń w urządzeniach Fortinet jest wciąż szeroko wykorzystywana.

Krytyczna luka CVE-2024-23113 w urządzeniach Fortinet

Luka oznaczona jako CVE-2024-23113 została po raz pierwszy zgłoszona w lutym tego roku, jednak początkowo nie przykuła uwagi cyberprzestępców, którzy skupili się na eksploatacji innych krytycznych błędów naprawionych w tym samym czasie. Dopiero w ostatnich tygodniach luka ta zaczęła być wykorzystywana na szeroką skalę, co skłoniło amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) do umieszczenia jej w swoim katalogu Znanych Wykorzystanych Luk (KEV).

Zagrożenie, jakie niesie za sobą luka CVE-2024-23113, jest wyjątkowo poważne. Ocena CVSS v3 wynosząca 9,8 oznacza, że każda skuteczna eksploatacja może mieć katastrofalne konsekwencje dla poufności danych, integralności systemu i dostępności usług. Luka umożliwia zdalne wykonanie kodu bez potrzeby jakiejkolwiek interakcji użytkownika lub nadania specjalnych uprawnień, co czyni ją szczególnie groźną.

Problem ten dotyczy szerokiej gamy produktów Fortinet, w tym systemów FortiOS, FortiPAM, FortiProxy i FortiWeb, co stawia przed administratorami poważne wyzwanie w zabezpieczeniu swoich systemów. W odpowiedzi na te zagrożenia, Fortinet zaleca jak najszybsze aktualizacje do najnowszych, bezpiecznych wersji oprogramowania, a także wdrożenie tymczasowych środków zaradczych, w tym usunięcie dostępu demona fgfm do podatnych interfejsów. Dzięki temu możliwe jest uniemożliwienie programowi FortiManager wykrycia urządzeń FortiGate, co może pomóc w ochronie przed potencjalnymi atakami.

Niestety, mimo że luka została dodana do katalogu KEV, wciąż nie wiadomo, czy jest ona wykorzystywana w atakach ransomware. CISA nakłada na agencje federalne obowiązek usunięcia luki w przeciągu 21 dni poprzez aktualizacje systemów lub tymczasowe odłączenie zagrożonych urządzeń, aby zapobiec dalszym incydentom.

Co ciekawe, luka w zabezpieczeniach wciąż pozostaje szeroko wykorzystywana, choć inne błędy, naprawione w podobnym czasie, zyskały więcej uwagi cyberprzestępców. CISA przyznała, że to zaskakujące opóźnienie w zainteresowaniu atakujących tą luką, sugeruje większą złożoność mechanizmów wykorzystywania takich podatności.