Клиентам Fortinet необходимо присоединиться к программе и установить последние обновления, поскольку почти 50 000 интерфейсов управления по-прежнему уязвимы для последней уязвимости нулевого дня.
Данные Shadowserver Foundation показывают, что 48 457 устройств Fortinet по-прежнему находятся в открытом доступе и не имеют исправления для CVE-2024-55591, несмотря на строгие предупреждения, выпущенные за последние семь дней.
Ситуация не улучшилась и с течением времени. Shadowserver начал отслеживать количество уязвимых устройств 16 января, через два дня после выпуска идентификатора CVE для нулевого дня, и даже тогда уязвимыми оказались чуть менее 52 000 экземпляров.
Клиенты в Азии наиболее уязвимы: 20 687 уязвимых брандмауэров по-прежнему доступны через Интернет, в то время как Северная Америка и Европа отстают с 12 866 и 7 401 соответственно.
Напоминание тем, кто все еще медлит с исправлением этой уязвимости, Fortinet подтвердила, что CVE-2024-55591 активно эксплуатируется, и она также находится в каталоге KEV CISA. Не будьте как 86 000 с лишним клиентов, которые не исправили последнюю.
Говоря The Register о проблеме на прошлой неделе, ведущий исследователь по разведке угроз Arctic Wolf Labs Стефан Хостетлер сказал, что эксплойты были широко распространены, случайны и датируются декабрем.
Он добавил, что после того, как они взломали свою цель, злоумышленники, по-видимому, крадут учетные данные и используют их, чтобы проникнуть в сеть жертвы с правами администратора. Остальные детали все еще собираются, но — само собой разумеется — злоумышленник с правами администратора не является желанным дополнением к сети.
«Что мы можем сказать, так это то, что программы-вымогатели не исключены», — сказал Хостетлер, сославшись на похожую тактику, использовавшуюся в прошлом такими злоумышленниками, как Akira и Fog.
В рекомендациях Fortinet есть все подробности о том, как перейти на безопасную версию FortiOS и FortiProxy или реализовать обходной путь в то же время.
Непростое начало
Как и Ivanti, Fortinet имел непростой старт в 2025 году. Он не только имел дело с CVE-2024-55591, но в конце прошлой недели поставщик также подтвердил, что утечки Belsen Group были действительно подлинными.
Тысячи конфигураций и паролей для устройств Fortinet были опубликованы в сети новой бандой преступников под названием Belsen Group. Они были украдены еще в 2022 году с использованием уязвимости нулевого дня, но только недавно попали в сеть.
Учитывая явное безразличие некоторых клиентов Fortinet к устранению уязвимостей безопасности, если судить по предыдущим нескольким инцидентам, есть вероятность, что некоторые из жертв этого нарушения с тех пор не обновили свои учетные данные безопасности, что делает их уязвимыми для новых атак.
Наблюдатель за информационной безопасностью Кевин Бомонт сказал, что жертвами в основном были предприятия малого и среднего бизнеса, хотя среди них были и некоторые крупные организации и правительства.
Однако Fortinet принесла некоторое облегчение, заявив, что если с тех пор соблюдались обычные передовые методы обеспечения безопасности, риск компрометации невелик. Устройства, приобретенные после декабря 2022 года, также не затронуты.
Те, кто все еще может подвергаться риску, вскоре получат звонок или электронное письмо от штаб-квартиры Fortinet, в котором их предупредят об этом факте и попросят применить рекомендуемые поставщиком действия.
«Если вы находитесь в зоне действия, вам может потребоваться изменить учетные данные устройства и оценить риск того, что правила брандмауэра станут общедоступными», — сказал Бомонт.
Этот год начался для Fortinet примерно так же, как и прошлый, который The Reg описал как «адскую неделю» для поставщика.
Две критические ошибки и неуклюжий процесс раскрытия информации позже, и к началу февраля Fortinet наводила порядок в самых разных местах. Все это достигло кульминации в печально известной (и ложной) истории о DDoS-атаке на зубную щетку, заявление, опубликованное швейцарской газетой после личной встречи с одним из исследователей поставщика.
Как гласит история, Fortinet рассказала репортеру о том, как ботнет из 3 миллионов устройств запускал DDoS-атаки на швейцарские организации (это не так), и в ботнет были завербованы подключенные к Интернету зубные щетки с установленным вредоносным ПО.
После публикации зрители быстро разнесли в пух и прах заявления, которые Fortinet позже попыталась списать на проблемы с переводом, заявив, что атака на зубную щетку была представлена как гипотетическая, просто «иллюстрация определенного типа атаки». Швейцарская газета оспорила это, заявив, что статья была отправлена поставщику на утверждение и возвращена без каких-либо поправок. ®