Tường lửa của Fortinet bị xâm nhập bởi lỗ hổng zero-day

14:00 | 04/02/2025 | LỖ HỔNG ATTT

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.

Tường lửa của Fortinet bị xâm nhập bởi lỗ hổng zero-day

Theo đó, chiến dịch này bắt đầu từ giữa tháng 11/2024, với các hoạt động bao gồm truy cập trái phép vào giao diện quản lý, thay đổi cấu hình, tạo tài khoản quản trị cấp cao và thu thập thông tin xác thực bằng kỹ thuật DCSync. Tin tặc đã lợi dụng giao diện jsconsole từ một số địa chỉ IP bất thường để thực hiện các hành vi này.

Các cuộc tấn công được thực hiện qua việc khai thác lỗ hổng zero-day trong các phiên bản firmware từ 7.0.14 đến 7.0.16, với các giai đoạn tấn công rõ ràng như: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình và di chuyển ngang qua hệ thống. Tin tặc đã tạo tài khoản mới, chiếm quyền các tài khoản hiện có và thiết lập cổng SSL VPN để tiếp tục xâm nhập sâu hơn vào hệ thống.

Fortinet đã xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS: 9.6) trong FortiOS và FortiProxy, cho phép kẻ tấn công chiếm quyền quản trị qua các yêu cầu tùy chỉnh đến module Node.js websocket. Lỗ hổng này đã bị khai thác để thực hiện các hành vi tấn công, bao gồm tạo tài khoản quản trị, thay đổi chính sách tường lửa và thêm tài khoản vào nhóm người dùng SSL VPN.

Để giảm thiểu rủi ro, các tổ chức nên tránh công khai giao diện quản lý tường lửa lên Internet và chỉ cho phép người dùng đáng tin cậy truy cập. Fortinet cũng khuyến cáo các tổ chức cập nhật phiên bản mới nhất của FortiOS từ 7.0.17 trở lên; FortiProxy từ 7.0.20 hoặc 7.2.13 trở lên

Nếu chưa thể cập nhật bản vá hoặc phát hiện các IOC đáng ngờ có thể sử dụng các giải pháp thay thế như: vô hiệu hóa giao diện quản trị HTTP/HTTPS; giới hạn địa chỉ IP có thể truy cập vào giao diện quản trị thông qua chính sách cục bộ.

Chiến dịch tấn công này mang tính cơ hội, không giới hạn vào một ngành hay quy mô tổ chức cụ thể, với mục tiêu chính là khai thác lỗ hổng để xâm nhập và chiếm quyền kiểm soát hệ thống mạng.

M.H

‹ › ×

Tin liên quan

Fortinet cảnh báo về lỗ hổng bảo mật nghiêm trọng

15:00 | 02/01/2025

Fortinet vừa đưa ra cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm của hãng bao gồm FortiClient VPN, FortiManager và FortiWLM. Những lỗ hổng này có thể dẫn đến rò rỉ mật khẩu, thực thi mã từ xa và truy cập tệp trái phép khiến hàng triệu người dùng gặp rủi ro.

Fortinet là đối tác an ninh mạng chính thức cho Câu lạc bộ bóng đá Juventus

16:00 | 31/08/2024

Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.

Lỗ hổng trong Bypass SAML cho phép kẻ tấn công bỏ qua cơ chế xác thực

08:00 | 19/02/2025

Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.

Fortinet ra mắt trợ lý bảo mật AI IoT thế hệ đầu tiên

10:00 | 20/05/2024

Fortinet – một trong những công ty hàng đầu thế giới về kiến tạo và thúc đẩy sự hội tụ của mạng và bảo mật, vừa qua đã công bố các bản cập nhật mới cho danh mục sản phẩm AI tạo sinh (GenAI) nhằm nâng cao chất lượng hoạt động mạng và bảo mật, trong đó nổi bật nhất là việc giới thiệu trợ lý bảo mật GenAI IoT đầu tiên trong ngành.

Tin cùng chuyên mục

Dự báo 5 mối đe dọa phần mềm độc hại hàng đầu trong năm 2025

10:00 | 06/02/2025

Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.

Mạo danh dịch vụ an ninh và bảo mật của Windows để lừa đảo

22:00 | 30/01/2025

Kênh truyền thông đa phương tiện Fox News tại Mỹ đưa ra cảnh báo về phương thức lừa đảo trực tuyến mới thông qua tin nhắn email giả mạo dịch vụ an ninh và bảo mật của Windows. Mục đích của kẻ tấn công là chiếm quyền điều khiển máy tính của nạn nhân thông qua phần mềm điều khiển từ xa để đánh cắp dữ liệu.

10 cuộc tấn công mạng nguy hiểm nhất năm 2024

09:00 | 30/12/2024

Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.

Gia tăng các vụ tấn công mạng nhằm vào trò chơi điện tử dành cho trẻ em

15:00 | 24/12/2024

Theo thông tin do đội ngũ chuyên gia của Kaspersky chia sẻ, trong nửa đầu năm 2024, số lượng người dùng bị tội phạm mạng nhắm đến, sử dụng mồi nhử là các trò chơi phổ biến dành cho trẻ em đã tăng 30% so với nửa cuối năm 2023. Sau khi phân tích rủi ro tiềm ẩn đến từ các đối tượng trẻ em có sở thích chơi trò chơi điện tử, các nhà nghiên cứu phát hiện hơn 132.000 trường hợp đã trở thành mục tiêu của tội phạm mạng. Bài viết dưới đây sẽ thông tin tới độc giả các nội dung trong báo cáo mới nhất của Kaspersky về thực trạng tội phạm mạng nêu trên.