CVE-2024-55591

Fortinet FortiOS and FortiProxy

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-01-14

Официальное описание

Fortinet FortiOS and FortiProxy contain an authentication bypass vulnerability that may allow an unauthenticated, remote attacker to gain super-admin privileges via crafted requests to Node.js websocket module.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-55591 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в операционных системах FortiOS и FortiProxy. Проблема локализована в модуле Node.js, отвечающем за работу с WebSocket.

Злоумышленник может отправить специально сформированный запрос к интерфейсу управления, что позволит ему обойти механизмы проверки подлинности и получить права супер-администратора (super-admin). Уязвимость является критической, так как не требует предварительной авторизации и позволяет полностью скомпрометировать устройство.

Как исправить

Основным и наиболее надежным способом устранения уязвимости является обновление прошивки устройства до версий, в которых данная ошибка исправлена.

Необходимо установить следующие версии (или более новые): * FortiOS версии 7.0.16 или выше * FortiOS версии 7.2.9 или выше * FortiProxy версии 7.0.16 или выше * FortiProxy версии 7.2.9 или выше

Команда для проверки текущей версии через CLI:

get system status

Для загрузки и установки образа используйте стандартный интерфейс FortiGuard или выполните обновление через CLI (при наличии настроенного сервера обновлений):

execute restore config tftp <filename> <tftp_server_ip>

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки, минимизировав доступ к административному интерфейсу.

  1. Ограничьте доступ к HTTP/HTTPS интерфейсу управления (GUI), разрешив его только с доверенных IP-адресов (Trusted Hosts):
config system admin
    edit <admin_user>
        set trusthost1 <trusted_network_ip> <netmask>
    next
end
  1. Полностью отключите доступ к административному интерфейсу на внешних (WAN) интерфейсах:
config system interface
    edit <external_interface_name>
        unset allowaccess
    next
end
  1. Если использование GUI не является критически необходимым, временно отключите HTTP/HTTPS сервисы управления, оставив только SSH с использованием ключей:
config system central-management
    set status disable
end
  1. Используйте политики Local In Policy для фильтрации трафика, направленного на само устройство (порт 443/TCP по умолчанию для GUI).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей