Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses
 
Dutch follows English
 
Dear Reader,
 
On 14 January 2025, Fortinet issued a security advisory for a vulnerability tracked as CVE-2024-55591 [1] with a CVSS score of 9.3 [2]. This vulnerability is being actively exploited and targets FortiGate and FortiProxy appliances which have their management interface open to the internet. The vulnerability allows an unauthenticated attacker access to the management web interface to gain administrator privileges within the FortiGate and FortiProxy appliances.
 
Description
On 10 January 2025, Arctic Wolf issued a security advisory for an observed campaign targeting Fortinet FortiGate firewall devices with management interfaces exposed on the internet [3]. The initial access to the firewall management interface is unknown as of now but is likely to be a vulnerability tracked as CVE-2024-55591 [2]. The vulnerability allows an unauthenticated attacker to gain administrative privileges in the management interface of a Fortinet Fortigate or FortiProxy.
The specific FortiOS and FortiProxy firmware versions that are impacted by this vulnerability are the following:
  • FortiOS 7.0 (7.0.0 through 7.0.16)
  • FortiProxy 7.2 (7.2.0 through 7.2.12)
  • FortiProxy 7.0 (7.0.0 through 7.0.19)
In early December, Arctic Wolf Labs began observing suspicious activity on Fortinet FortiGate firewall devices. The following activity was observed:
 
  1. Unauthorized Administrative Logins: Threat actors gained access to the management interfaces of FortiGate firewalls, allowing them to log in as administrators
  2. Creation of New Accounts: Attackers created new administrative accounts to maintain persistent access.
  3. SSL VPN Authentication: The newly created accounts were used for SSL VPN authentication, enabling further infiltration into the network.
  4. Configuration Changes: Various configuration changes were made to the firewalls, potentially to weaken security settings or establish backdoors.
  5. Credential Extraction: Using the DCSync technique after gaining access to the environment, attackers extracted credentials, which could be used for lateral movement within the compromised environment.
Impact
An unauthenticated attacker could gain administrator access to sensitive firewall configuration and manipulate the configuration. These configuration changes can lead to further access into the customer environment. Therefore we estimate the impact of this vulnerability as HIGH.
 
Risk
We estimate the risk of these vulnerabilities as HIGH. At the time of writing there is no proof of concept available, but Arctic Wolf observed successful exploitation of this vulnerability already, as mentioned by FortiGuard Labs PSIRT.
 
Mitigation
The vulnerabilities are fixed in later versions of Fortigate as those listed above, therefore applying recent patches to the affected devices is strongly recommended. The risk of exploitation is greatly reduced by restricting access to vulnerable management web interfaces to only trusted internal IP addresses. Instructions to restrict access are detailed by Fortiguard Labs PSIRT [1]. 
 
What should you do?
 Check whether one or more of the affected Fortigate firewall versions are being used by devices on your network. If affected products are identified, we recommend installing the most recent patches and to ensure access to the web interface is restricted. Instructions to restrict access are detailed by Fortiguard Labs PSIRT [1].
If devices were not patched and exposed to the internet, it is possible that a breach has occurred. Fortiguard has specified indicators of compromise that can be used to identify if a system was breached [1]. If you need help investigating a breached device, contact our incident response team (details below).
 
What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat emerges we will contact you. You can call us by phone or send us an email if you would like additional information.
Vulnerability Management customers will be notified if vulnerable systems are found in their infrastructure.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.
 
Sources
 
 
Beste lezer,
 
Op 14 januari 2025 heeft Fortinet een beveiligingswaarschuwing uitgegeven voor een kwetsbaarheid die wordt getraceerd als CVE-2024-55591 [1] met een CVSS-score van 9,3 [2]. Deze kwetsbaarheid wordt actief gebruikt en richt zich op FortiGate en FortiProxy appliances waarvan de management interface openstaat richting het internet. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om beheerdersrechten te krijgen binnen de FortiGate en FortiProxy appliances.
 
Beschrijving
Op 10 januari 2025 heeft Arctic Wolf een beveiligingswaarschuwing uitgegeven voor een waargenomen campagne gericht op Fortinet FortiGate firewall-apparaten met beheerinterfaces die zijn blootgesteld aan het internet [3]. De initiële toegang tot de beheerinterface van de firewall is tot nu toe onbekend, maar waarschijnlijk gaat het om een kwetsbaarheid die wordt getraceerd als CVE-2024-55591 [2]. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om beheerdersrechten te verkrijgen in de beheerinterface van een Fortinet Fortigate of FortiProxy.
De specifieke FortiOS en FortiProxy firmware versies die beïnvloed worden door deze kwetsbaarheid zijn de volgende:
  • FortiOS 7.0 (7.0.0 tot 7.0.16)
  • FortiProxy 7.2 (7.2.0 tot 7.2.12)
  • FortiProxy 7.0 (7.0.0 tot 7.0.19)
Begin december begon Arctic Wolf Labs verdachte activiteiten waar te nemen op Fortinet FortiGate firewall-apparaten. De volgende activiteit werd waargenomen:
 
  1. Ongeautoriseerde aanmeldingen van administrators: Aanvallers kregen toegang tot de beheerinterfaces van FortiGate firewalls, waardoor ze zich konden aanmelden als beheerders.
  2. Aanmaken van nieuwe accounts: Aanvallers maakten nieuwe administratieve accounts aan om toegang te behouden.
  3. SSL VPN authenticatie: De nieuw aangemaakte accounts werden gebruikt voor SSL VPN authenticatie, waardoor verdere infiltratie in het netwerk mogelijk werd.
  4. Configuratiewijzigingen: Er werden verschillende configuratiewijzigingen aangebracht aan de firewalls, mogelijk om beveiligingsinstellingen te verzwakken of achterdeurtjes te creëren.
  5. Extraheren van accounts: Met behulp van de DCSync-techniek na toegang te hebben verkregen tot de omgeving, haalden aanvallers referenties op die konden worden gebruikt voor lateral movement binnen de omgeving.
Impact
Een niet-geauthenticeerde aanvaller kan beheerderstoegang krijgen tot gevoelige firewallconfiguraties en de configuratie manipuleren. Deze configuratiewijzigingen kunnen leiden tot verdere toegang tot de klantomgeving. Daarom schatten we de impact van deze kwetsbaarheid in als HOOG.
 
Risico
We schatten het risico van deze kwetsbaarheden in als HOOG. Op het moment van schrijven is er nog geen proof of concept beschikbaar, maar Arctic Wolf heeft al succesvol gebruik van deze kwetsbaarheid waargenomen, zoals vermeld door FortiGuard Labs PSIRT.
 
Mitigatie
De kwetsbaarheden zijn verholpen in latere versies van Fortigate zoals hierboven vermeld, daarom wordt het toepassen van recente patches op de kwetsbare apparaten sterk aanbevolen. Het risico van uitbuiting wordt sterk verminderd door de toegang tot de management interface te beperken tot vertrouwde interne IP-adressen. Instructies om de toegang te beperken worden beschreven door Fortiguard Labs PSIRT [1].
 
Wat moet u doen?
Controleer of een of meer van de getroffen Fortigate firewall versies worden gebruikt door apparaten in je netwerk. Als kwetbare producten worden geïdentificeerd, raden we aan de meest recente patches te installeren en ervoor te zorgen dat de toegang tot de management interface wordt beperkt. Instructies om de toegang te beperken worden in detail beschreven door Fortiguard Labs PSIRT [1].
Als apparaten niet gepatcht zijn en blootgesteld zijn aan het internet, is het mogelijk dat er toegant heeft plaatsgevonden. Fortiguard heeft indicatoren gespecificeerd die kunnen worden gebruikt om vast te stellen of een systeem is gecompromitteerd [1]. Als u hulp wilt bij het onderzoeken van een mogelijk gecompromitteerd device, kunt u ons incident response team inschakelen (zie details onderaan).
 
Wat doet Northwave?
We zullen alle ontwikkelingen met betrekking tot deze kwetsbaarheid volgen. Als er nieuwe kritieke informatie over deze bedreiging bekend wordt, nemen we contact met u op. U kunt ons bellen of een e-mail sturen als u aanvullende informatie wenst.
Klanten van Vulnerability Management worden op de hoogte gebracht als er kwetsbare systemen in hun infrastructuur worden aangetroffen.

E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000 
 
Disclaimer is van toepassing, zie onder.
 
Bronnen
 
 
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.