Fortinet poinformował o krytycznej luce bezpieczeństwa, która została już załatana, a która dotyczyła narzędzia Wireless LAN Manager (FortiWLM). Luka ta mogła doprowadzić do ujawnienia wrażliwych danych oraz pozwolić na dalsze działania hakerom. Problem przykuł uwagę specjalistów ds. bezpieczeństwa, ponieważ jego konsekwencje mogły być niezwykle poważne.
Luka oznaczona jako CVE-2023-34990 otrzymała imponujący wskaźnik CVSS na poziomie 9,6 w skali do 10. Został zidentyfikowany jako podatność typu „relative path traversal” (CWE-23), co oznacza, że umożliwiała atakującym zdalne i nieautoryzowane odczytywanie wrażliwych plików. W oficjalnym ostrzeżeniu Fortinet wyjaśnił, że może to umożliwić niezalogowanym użytkownikom dostęp do plików log systemu, co potencjalnie mogło prowadzić do jeszcze poważniejszych konsekwencji.
Według opisu w bazie danych National Vulnerability Database (NVD), luka mogła być również wykorzystana do wykonania nieautoryzowanych poleceń lub kodu za pomocą specjalnie przygotowanych żądań sieciowych. To tylko podkreśla wagę szybkiej reakcji użytkowników urządzeń i aktualizacji podatnych wersji oprogramowania.
Wpływ luk na wersje produktów Fortinet:
Dotknięte podatnością były konkretne wersje FortiWLM. Problem z cybersecurity został rozwiązany w następujących aktualizacjach:
- FortiWLM w wersjach 8.6.0 do 8.6.5 (naprawa w wersji 8.6.6 i wyższych)
- FortiWLM w wersjach 8.5.0 do 8.5.4 (naprawa w wersji 8.5.5 i wyższych)
Luka została odkryta i zgłoszona przez Zacha Hanleya, badacza z zespołu Horizon3.ai, który podkreślił, że wynikała ona z braku walidacji danych wejściowych dla parametrów żądania. Była to jedna z sześciu poważnych luk wskazanych w systemie FortiWLM, o których firma wspominała już w marcu tego roku.
Hanley zauważył, że podatność umożliwia zdalnym, nieautoryzowanym atakującym wykorzystanie funkcji wbudowanych w celu odczytywania logów systemowych poprzez manipulację żądaniami przesyłanymi do określonego endpointa. To pozwalało z kolei hakerom na uzyskanie dostępu do identyfikatora sesji danego użytkownika, co otwierało możliwość dalszego wykorzystywania tych danych w celu ataków na zasoby chronione.
Statyczne identyfikatory sesji – furtka do dalszych ataków
Jednym z najpoważniejszych zagrożeń wynikających z CVE-2023-34990 była możliwość wykorzystania statycznych identyfikatorów sesji, które pozostawały takie same pomiędzy kolejnymi logowaniami użytkowników. Dzięki temu atakujący mógł przejąć sesję i uzyskać uprawnienia administracyjne do urządzenia. Taka sytuacja stawiała użytkowników w bardzo niebezpiecznej sytuacji, ponieważ hakerzy mogli faktycznie przejąć pełną kontrolę nad systemem.
Ale to jeszcze nie wszystko. Luka ta mogła zostać połączona z innym problemem, oznaczonym jako CVE-2023-48782 (również już naprawionym), który pozwalał na zdalne wykonywanie kodu w kontekście użytkownika root. Taka kombinacja mogła prowadzić do całkowitego przejęcia kontroli nad urządzeniem przez osoby trzecie.
Inne skatowane luki i dotknięte urządzenia
Fortinet załatał również inne poważne luki, takie jak CVE-2024-48889, która dotyczyła systemów FortiManager. Podatność pozwalała atakującym zdalnym na wykonywanie nieautoryzowanych poleceń systemowych. Problem został rozwiązany w szeregach wersji FortiManager oraz FortiManager Cloud, w tym:
- FortiManager 7.6.0 (naprawa w wersji 7.6.1 lub wyższej)
- FortiManager 7.4.0 do 7.4.4 (naprawa w wersji 7.4.5 lub wyższej)
- FortiManager Cloud 7.4.1 do 7.4.4 (naprawa w wersji 7.4.5 lub wyższej)
- Wiele innych wersji systemu, zgodnie z oficjalną dokumentacją Fortinet.
Fortinet zauważył, że niektóre starsze modele urządzeń, m.in. serii 3000 i 3700, są również wrażliwe na tę podatność, jeśli włączona była funkcja „fmg-status”. Chociaż łatki zostały dostarczone, starsze sprzęty mogą być trudniejsze do ochrony ze względu na ograniczenia wsparcia.
Zaktualizuj urządzenie i zabezpiecz swoją sieć
Urządzenia Fortinet stały się celem dla cyberprzestępców, co tylko potwierdza znaczenie regularnego aktualizowania oprogramowania. Dla użytkowników domowych i korporacyjnych kluczowe jest zastosowanie dostarczonych poprawek oraz monitorowanie komunikatów producenta. Ignorowanie aktualizacji może doprowadzić do poważnych strat w postaci ujawnienia wrażliwych danych, utraty kontroli nad systemami i wycieków informacji.
Aby zabezpieczyć swoje zasoby, użytkownicy powinni zadbać o bieżące aktualizacje, zastosowanie poprawionych wersji systemów oraz regularne audyty bezpieczeństwa. Tylko podejmując szybkie kroki naprawcze, uda się uniknąć potencjalnych ataków, które mogłyby mieć katastrofalne skutki.