СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
21.03.2025
#Уязвимости #Dev#ИБ#Инфра

CISA: уязвимость Fortinet использовалась для атак с применением программ-вымогателей

CISA: уязвимость Fortinet использовалась для атак с применением программ-вымогателей

Агентство по кибербезопасности и защите инфраструктуры США (CISA) заявило в своём новом отчете, что опасная уязвимость в продуктах Fortinet активно используется злоумышленниками в атаках с применением программ-вымогателей.

CVE-2025-24472 позволяет обходить аутентификацию через альтернативный маршрут. Эта проблема затрагивает FortiOS (версии с 7.0.0 по 7.0.16) и FortiProxy (версии с 7.2.0 по 7.2.12, а также с 7.0.0 по 7.0.19). Используя уязвимость, удалённые атакующие могут получить уровень доступа суперадминистратора, отправляя специально сформированные запросы через CSF-прокси.

Fortinet сообщила об этом в середине января 2025 года и присвоила проблеме высокий уровень опасности, оценив её в 8,1 балла по шкале CVSS. Пользователям было предложено установить исправленные версии — 7.0.17, 7.2.13 и 7.0.20.

Компания Forescout 12 марта сообщила, что киберпреступная группировка Mora_001, имеющая связи с LockBit, использовала CVE-2025-24472 вместе с CVE-2024-55591 — ещё одной уязвимостью Fortinet. Эксплуатация этих уязвимостей позволила внедрить новый вариант программы-вымогателя, получивший название «SuperBlack».

CISA подтвердила эти данные 18 марта, добавив CVE-2025-24472 в перечень известных эксплуатируемых уязвимостей (KEV). CVE-2024-55591 попала в этот список ещё в январе.

Кроме проблем в продуктах Fortinet, CISA добавила в KEV уязвимость CVE-2025-30066. Она связана с цепочкой поставок и затрагивает популярный GitHub Action tj-actions/changed-files, что повлияло на более 23 тыс. организаций.

GitHub Actions применяется для автоматизации процессов интеграции и доставки (CI/CD), упрощая разработку, тестирование и развёртывание программного обеспечения. Хотя эта технология не так известна широкой аудитории, она активно используется многими компаниями, поскольку лежит в основе множества решений с открытым исходным кодом.

Атака произошла 14 марта, когда злоумышленники внесли изменения в код и обновили несколько тегов версий, ссылаясь на вредоносный коммит. Это привело к утечке конфиденциальных данных CI/CD в логах сборки GitHub Actions.

Все версии tj-actions/changed-files оказались уязвимыми, а оценка опасности проблемы составила 8,6 балла по шкале CVSS. GitHub оперативно устранил угрозу и удалил вредоносные компоненты, но экспертное сообщество рекомендует организациям проверить, не использовались ли у них уязвимые версии.

Полный отчёт доступен по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: