Агентство по кибербезопасности и защите инфраструктуры США (CISA) заявило в своём новом отчете, что опасная уязвимость в продуктах Fortinet активно используется злоумышленниками в атаках с применением программ-вымогателей.
CVE-2025-24472 позволяет обходить аутентификацию через альтернативный маршрут. Эта проблема затрагивает FortiOS (версии с 7.0.0 по 7.0.16) и FortiProxy (версии с 7.2.0 по 7.2.12, а также с 7.0.0 по 7.0.19). Используя уязвимость, удалённые атакующие могут получить уровень доступа суперадминистратора, отправляя специально сформированные запросы через CSF-прокси.
Fortinet сообщила об этом в середине января 2025 года и присвоила проблеме высокий уровень опасности, оценив её в 8,1 балла по шкале CVSS. Пользователям было предложено установить исправленные версии — 7.0.17, 7.2.13 и 7.0.20.
Компания Forescout 12 марта сообщила, что киберпреступная группировка Mora_001, имеющая связи с LockBit, использовала CVE-2025-24472 вместе с CVE-2024-55591 — ещё одной уязвимостью Fortinet. Эксплуатация этих уязвимостей позволила внедрить новый вариант программы-вымогателя, получивший название «SuperBlack».
CISA подтвердила эти данные 18 марта, добавив CVE-2025-24472 в перечень известных эксплуатируемых уязвимостей (KEV). CVE-2024-55591 попала в этот список ещё в январе.
Кроме проблем в продуктах Fortinet, CISA добавила в KEV уязвимость CVE-2025-30066. Она связана с цепочкой поставок и затрагивает популярный GitHub Action tj-actions/changed-files, что повлияло на более 23 тыс. организаций.
GitHub Actions применяется для автоматизации процессов интеграции и доставки (CI/CD), упрощая разработку, тестирование и развёртывание программного обеспечения. Хотя эта технология не так известна широкой аудитории, она активно используется многими компаниями, поскольку лежит в основе множества решений с открытым исходным кодом.
Атака произошла 14 марта, когда злоумышленники внесли изменения в код и обновили несколько тегов версий, ссылаясь на вредоносный коммит. Это привело к утечке конфиденциальных данных CI/CD в логах сборки GitHub Actions.
Все версии tj-actions/changed-files оказались уязвимыми, а оценка опасности проблемы составила 8,6 балла по шкале CVSS. GitHub оперативно устранил угрозу и удалил вредоносные компоненты, но экспертное сообщество рекомендует организациям проверить, не использовались ли у них уязвимые версии.
Полный отчёт доступен по ссылке.
Оригинал публикации на сайте CISOCLUB: "CISA: уязвимость Fortinet использовалась для атак с применением программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.