Kritisk sårbarhet i FortiOS utnyttjas aktivt

Fortinet har rättat en kritisk och aktivt utnyttjad sårbarhet som påverkar FortiOS 7.0 och FortiProxy 7.0 och 7.2. [1]

Säkerhetshålet kan vid framgångsrikt utnyttjande tillåta en angripare att kringgå autentisering och tillskansa sig hög administrativ behörighet i drabbade system (superadmin).

Enligt uppgifter från säkerhetsforskare, har sårbarheten utnyttjats i en riktad kampanj mot Fortinets brandväggar med internetexponerade administratörsfunktioner sedan november 2024. [2]

Sårbarheten har beteckningen CVE-2024-55591 och tilldelats ett CVSS-score på 9.6 av 10.0.

Fortinet har släppt en säkerhetsuppdatering samt stöd som tekniska indikatorer och workarounds.

Uppdatering 2025-02-13:

Fortinet har uppdaterat sitt säkerhetsråd och inkluderar även CVE-2025-24472. Det rör sig om samma sårbarhet, det nya är att Fortinet informerar om att den också drabbar en annan del av FortiOS. Både CVE-2024-55591 och CVE-2025-24472 åtgärdas genom samma säkerhetsuppdatering. [1]

Påverkade produkter

FortiOS version 7.0.0 till och med 7.0.16 (uppgradera till 7.0.17 eller senare).

FortiProxy version 7.0.0 till och med 7.0.19, samt 7.2.0 till och med 7.2.12.

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara system samt att se över internetexponerade administratörsverktyg.

Leverantören har även publicerat råd för mitigerande åtgärder, förslag på workarounds och IOC:er.

Källor

[1] https://www.fortiguard.com/psirt/FG-IR-24-535
[2] https://arcticwolf.com/resources/blog/