НАЗАД К НОВОСТЯМ
Срочные новости

Fortinet предупреждает об активной эксплуатации уязвимости обхода аутентификации FortiCloud SSO

2 мин чтенияИсточник: SecurityWeek

Fortinet подтвердил активную эксплуатацию уязвимости в системе аутентификации FortiCloud SSO, позволяющей злоумышленникам обходить контроль доступа даже на исправленных устройствах.

Fortinet подтверждает активную эксплуатацию уязвимости обхода аутентификации FortiCloud SSO

Компания Fortinet подтвердила, что злоумышленники активно эксплуатируют уязвимость в системе единого входа (SSO) FortiCloud, позволяющую обходить механизмы аутентификации — даже на устройствах, на которых установлены последние обновления безопасности.

Предупреждение было выпущено после сообщений о продолжающихся атаках, направленных на механизм входа в FortiCloud SSO. Хотя Fortinet пока не раскрыла технические детали уязвимости, методы её эксплуатации напоминают недавно обнаруженные уязвимости обхода аутентификации в продуктах компании.

Технические детали и вектор атаки

На данный момент Fortinet не присвоила уязвимости идентификатор CVE. Однако эксперты по кибербезопасности отмечают, что вектор атаки схож с ранее выявленными уязвимостями FortiCloud SSO, которые часто включают:

  • Манипуляцию токенами аутентификации или механизмами обработки сессий
  • Эксплуатацию неправильной валидации входных данных в запросах на аутентификацию SSO
  • Обход защиты многофакторной аутентификации (MFA)

Тот факт, что уязвимыми остаются даже исправленные устройства, может означать:

  1. Наличие новой, неисправленной уязвимости в реализации SSO, или
  2. Использование злоумышленниками неверных конфигураций или остаточных уязвимостей в ранее устранённых проблемах.

Анализ последствий

Успешная эксплуатация данной уязвимости может позволить неавторизованным злоумышленникам:

  • Получить несанкционированный доступ к интерфейсам управления Fortinet
  • Повысить привилегии в среде FortiCloud
  • Перемещаться в боковом направлении по подключённым устройствам и сервисам Fortinet
  • Похищать конфиденциальные данные или развёртывать дополнительные вредоносные payloads

Учитывая широкое распространение решений Fortinet в корпоративных и государственных сетях, эта уязвимость представляет серьёзную угрозу для организаций, использующих FortiCloud для централизованной аутентификации и управления устройствами.

Рекомендации по смягчению последствий

На данный момент Fortinet не выпустила официального патча или рекомендаций по данной уязвимости. Тем не менее, ИБ-командам рекомендуется:

  1. Следить за обновлениями в бюллетенях PSIRT Fortinet и официальными рекомендациями (Fortinet PSIRT).
  2. Анализировать журналы доступа FortiCloud на предмет подозрительных попыток аутентификации или аномальной активности.
  3. Обеспечить строгую сегментацию сети для ограничения бокового перемещения в случае взлома.
  4. Внедрить дополнительные меры контроля доступа, такие как белые списки IP-адресов или политики условного доступа для FortiCloud SSO.
  5. Рассмотреть возможность временного отключения FortiCloud SSO, если это возможно, и использовать ручную аутентификацию до выхода патча.

SecurityWeek продолжит следить за развитием ситуации и предоставит обновления по мере появления новых технических деталей.

Оригинальный материал подготовлен Ионутом Аргире для SecurityWeek.

Поделиться

TwitterLinkedIn