Para Threat hunter mengungkap adanya kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan Interface manajemen yang terekspos di internet. Dalam hal ini, pelaku melakukan login administratif tanpa izin, membuat akun baru, menggunakan akun tersebut untuk autentikasi SSL VPN, serta melakukan berbagai perubahan pada konfigurasi. Aktivitas berbahaya ini kemungkinan besar disebabkan oleh eksploitasi kerentanan keamanan (zero-day vulnerability)

1. Penyerang memperoleh akses ke interface manajemen firewall dan melakukan perubahan konfigurasi.
2. Membuat akun admin dan pengguna lokal pada perangkat dengan nama pengguna acak.
3. Membuat grup pengguna atau menambahkan pengguna lokal ke grup pengguna SSL VPN yang sudah ada.
4. Menambahkan/mengubah peraturan lain (kebijakan firewall, alamat firewall)
5. Masuk ke SSL VPN dengan pengguna lokal yang ditambahkan untuk mendapatkan akses ke jaringan internal

type="event" subtype="system" level="information" vd="root" logdesc="Admin login​

successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" ​

srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none"​

profile="super_admin" msg="Administrator admin logged in successfully from jsconsole“

type="event" subtype="system" level="information" vd="root" logdesc="Object ​

cfgtid=1411317760 cfgpath="system.admin"cfgobj="vOcep"​

cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

1. Fortinet menerbitkan bypass autentikasi baru pada FortiOS dan FortiProxy (CVE-2024-55591, CVSS score: 9.6) 

2. Menonaktifkan interface HTTP/HTTPS serta membatasi akses ke interface administratif dengan menerapkan local policy dan mengelola akses melalui group policy.​

3. Jika menggunakan port non-default, buat objek layanan yang sesuai untuk mengakses GUI administrative.