Krytyczna podatność typu authentication bypass w FortiOS i FortiProxy umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie uprawnień super-administratora. Jest aktywnie wykorzystywana w atakach, co potwierdza wpis w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS version 7.0.0 through 7.0.16 and FortiProxy version 7.0.0 through 7.0.19 and 7.2.0 through 7.2.12 allows a remote attacker to gain super-admin privileges via crafted requests to Node.js websocket module.
Podatność wynika z możliwości ominięcia mechanizmu uwierzytelnienia poprzez alternatywną ścieżkę lub kanał komunikacji (CWE-288). Atakujący wysyła specjalnie spreparowane żądania do modułu websocket Node.js wbudowanego w urządzenie, co pozwala na pominięcie standardowej weryfikacji tożsamości. W efekcie atakujący uzyskuje dostęp z poziomem uprawnień super-admina bez potrzeby podawania jakichkolwiek poświadczeń.
Atakujący zdalny, bez żadnego uwierzytelnienia, może uzyskać pełne uprawnienia super-administratora na urządzeniu, co umożliwia całkowite przejęcie kontroli nad firewallem lub proxy, modyfikację konfiguracji sieci oraz potencjalny lateral movement w chronionej infrastrukturze.
Należy jak najszybciej zaktualizować FortiOS do wersji powyżej 7.0.16 oraz FortiProxy do wersji powyżej 7.0.19 (gałąź 7.0.x) lub powyżej 7.2.12 (gałąź 7.2.x). Szczegółowe informacje o dostępnych patchach dostępne są w biuletynie producenta: https://fortiguard.fortinet.com/psirt/FG-IR-24-535
FortiOS w wersjach 7.0.0 – 7.0.16 oraz FortiProxy w wersjach 7.0.0 – 7.0.19 i 7.2.0 – 7.2.12
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystanie w rzeczywistych atakach. Administratorzy urządzeń Fortinet z ekspozycją interfejsu zarządzania na sieć powinni traktować aktualizację jako priorytet bezwzględny.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet FortiOS
OSFortinet7.0.0 – 7.0.17 (bez)Fortinet Fortiproxy
APPFortinet7.0.0 – 7.0.20 (bez)7.2.0 – 7.2.13 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Fortinet ↗
- Produkti
- FortiOS and FortiProxy
- Data dodania do KEVi
- 14 stycznia 2025
- Termin remediation (USA)i
- 21 stycznia 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Fortinet FortiOS i FortiProxy zawierają lukę w uwierzytelnieniu, która może pozwolić niezautenfikowanemu, zdalnemu atakującemu na uzyskanie uprawnień super-admin poprzez spreparowane żądania do modułu Node.js websocket.
▸ Pokaż oryginał (EN)
Fortinet FortiOS and FortiProxy contain an authentication bypass vulnerability that may allow an unauthenticated, remote attacker to gain super-admin privileges via crafted requests to Node.js websocket module.
Powiązane podatności
Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach
Fortinet FortiOS/FortiProxy/FortiSwitchManager — Auth Bypass przez SAML
Krytyczna podatność format string RCE w Fortinet FortiOS, FortiProxy i FortiSwitchManager
Out-of-bounds write w Fortinet FortiOS i FortiProxy — RCE bez uwierzytelnienia
A heap-based buffer overflow vulnerability [CWE-122] in FortiOS version 7.2.4 and below, version 7.0.11 and be...