Một chiến dịch tấn công mới đã nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên internet. Chiến dịch bắt đầu từ tháng 11/2024, tận dụng lỗ hổng zero-day để xâm nhập, thay đổi cấu hình, tạo tài khoản quản trị cấp cao, và thu thập thông tin xác thực bằng kỹ thuật DCSync.
Tin tặc đã khai thác giao diện jsconsole từ các IP bất thường để thực hiện các hành vi này. Những phiên bản firmware bị ảnh hưởng nằm trong khoảng từ 7.0.14 đến 7.0.16. Quá trình tấn công gồm bốn giai đoạn: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình, và di chuyển ngang qua hệ thống.
Fortinet xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS 9.6) trong FortiOS và FortiProxy. Lỗ hổng cho phép tin tặc chiếm quyền quản trị qua module Node.js websocket. Hậu quả là chúng đã tạo tài khoản mới, chiếm quyền tài khoản cũ, thiết lập cổng SSL VPN và thay đổi chính sách firewall.
Để giảm thiểu rủi ro, Fortinet khuyến cáo các tổ chức:
- Không công khai giao diện quản lý firewall.
- Cập nhật firmware lên FortiOS 7.0.17 hoặc FortiProxy 7.0.20/7.2.13 trở lên.
- Hạn chế truy cập giao diện quản lý HTTP/HTTPS và giới hạn IP truy cập.
Chiến dịch này mang tính cơ hội, không nhắm đến một ngành hay quy mô cụ thể, với mục tiêu chính là khai thác lỗ hổng để kiểm soát hệ thống mạng.
