Тази седмица CISA добави CVE-2025-24472 към каталога на известните експлоатирани уязвимости, като цитира активност на рансъмуер, насочена към заобикаляне на удостоверяването.

Клиентите на Fortinet, които все още не са закърпили критичната уязвимост за заобикаляне на удостоверяването, разкрита от компанията през февруари, може би ще искат да се заемат с това бързо.

CVE-2025-24472 дава възможност на отдалечени нападатели да получат привилегии на суперадминистратор в засегнатите системи, като използват слабост в начина, по който определени версии на операционната система FortiOS и технологиите за уеб шлюзове FortiProxy на Fortinet обработват прокси заявки по Client Server Framework. Системите с открити интерфейси за управление на защитната стена FortiGate са особено изложени на риск, което прави организациите уязвими за неоторизиран достъп. FortiGate разкри дефекта на 11 февруари заедно с поправка за него.

Отново под прожекторите

Тази седмица уязвимостта привлече ново внимание, когато Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) я добави към каталога на агенцията за известни експлоатирани уязвимости (KEV), отбелязвайки активността на рансъмуер. Федералните граждански агенции от изпълнителната власт трябва да приложат поправката на Fortinet за проблема до 4 април или да преустановят използването на продукта, докато не го отстранят.

CVE-2025-24472 е една от двете тежки и свързани уязвимости за заобикаляне на удостоверяването, които Fortinet разкри в началото на 2025 г. Другата е CVE-2024-55591, която също позволява на атакуващите да получат най-високо ниво на административни привилегии в уязвими системи, без да се изисква удостоверяване или локален достъп. Противниците могат да се възползват от недостатъка, като изпращат злонамерено подготвени заявки към модула Node.js websocket, който позволява комуникация клиент/сървър в реално време. Тази уязвимост попадна в KEV на CISA в същия ден през януари, в който Fortinet разкри дефекта, тъй като по това време  заплахите вече активно я използваха като нулев ден.

Изследователи от Vedere Labs на Forescout наскоро съобщиха, че са забелязали Mora_001, нов независим  ransomware колектив с вероятни връзки с операцията LockBit, който активно експлоатира както CVE-2025-24472, така и CVE-2024-55591. Доставчикът на системи за сигурност заяви, че  заплахата използва двете уязвимости на Fortinet, за да получи първоначален достъп до целеви устройства на Fortinet, изложени на интернет, и да увеличи привилегиите им до ниво суперадминистратор. За първоначален достъп извършителят е използвал бъговете директно чрез изложената конзола jsconsole или чрез подправени HTTPS заявки, заяви Forescout. При някои от атаките Mora_001 е използвал публично достъпен код за експлойт на концепцията за уязвимостите, докато при други атаки противникът е използвал леко модифицирана версия на кода за експлойт на концепцията.

След компрометирането на уязвимостта нападателят е създавал множество администраторски акаунти и планирани скриптове, както и асинхронизиране с резервни защитни стени, за да поддържа устойчивост. Веригата от атаки на Mora_001 е включвала откриване на системата и мрежата, странично придвижване, ексфилтрация на данни и накрая внедряване на вариант на ransomware, наречен „SuperBlack“.

Месеци на активност на експлойта

През декември 2024 г. Arctic Wolf докладва за наблюдавана от него дейност, насочена към открити интерфейси за управление на защитните стени FortiGate на Fortinet. По онова време консултацията на компанията не свързваше злонамерената дейност с конкретна уязвимост, но призоваваше клиентите на Fortinet да ограничат достъпа до интерфейсите за управление на защитните стени на Fortinet. В последваща актуализация на злонамерената дейност от 10 януари Arctic Wolf заяви, че подозира, че участниците в заплахата използват уязвимост от нулев ден, за да експлоатират защитните стени, и призова всички клиенти на Fortinet „спешно да забранят достъпа до управлението на публичните интерфейси на защитните стени възможно най-скоро“. Разкриването на CVE-2024-55591 от страна на Fortinet през януари потвърди това подозрение.

Оттогава насам се наблюдава постоянно нарастване на броя на атаките, насочени към двата недостатъка. Но Стефан Хостетлер, старши изследовател на заплахите в Arctic Wolf, казва, че като цяло се наблюдава нетно намаляване на атаките срещу двата недостатъка. „Най-добрите практики налагат интерфейсите за управление на защитни стени да не бъдат излагани на публичен достъп в интернет“, казва той.

Arctic Wolf продължава да следи дейността, свързана с уязвимостите на Fortinet, но досега не е успяла да свърже атаките с конкретна група. „Едно от предизвикателствата, с които се сблъскваме, като се намесваме на ранен етап и спираме заплахи като тези, е, че това ограничава видимостта ни в по-късните части на веригата на експлоатация“, отбелязва изследователят. „В резултат на това нямаме толкова голяма видимост за вариантите на ransomware, които са били внедрени с помощта на тази уязвимост.“

Поне засега цялата активност на атаките, насочени към CVE-2024-55591 и CVE-2025-24472, е свързана с рансъмуер, въпреки че в миналото групи за добив на криптовалута също са се възползвали от уязвимости като тези, казва Хостетлер. „Въпреки че продуктите на Fortinet са били обект на атака в този случай, сме виждали продукти на други доставчици, експлоатирани по подобен начин, така че тази тенденция не е характерна само за един конкретен доставчик“, обяснява Хостетлер.

В миналото CISA и други организации многократно са посочвали продукти на компании като Fortinet, Ivanti, Palo Alto Networks, Citrix, SonicWall и други като попадащи в категорията крайни устройства, към които нападателите обичат да се насочват заради достъпа, който те осигуряват до средите на жертвите. „Както прогнозирахме в края на 2024 г., очакваме, че крайните устройства ще продължат да бъдат експлоатирани от киберпрестъпниците през 2025 г. и след това“, казва Хостетлер. „Участниците в заплахите вероятно ще продължат да се възползват от неправилната конфигурация и остарелия фърмуер, докато има още пари за печелене.“