Američka Agencija za sajber bezbjednost i infrastrukturu (CISA) izdala je kritično upozorenje povodom ranjivosti u Fortinet FortiOS sistemima, koja predstavlja značajan rizik po infrastrukturu mrežne bezbjednosti. Dana 25. juna 2025. godine, CISA je u svoj katalog poznatih ranjivosti koje se eksploatišu (KEV) dodala identifikator CVE-2019-6693. Ova odluka ukazuje na to da je pomenuti nedostatak u vidu “hard-coded” (unaprijed upisanih) akreditiva aktuelno iskorištavan u realnim napadima. Shodno tome, organizacije koje koriste Fortinet FortiOS sisteme sada imaju obavezni rok za otklanjanje ovog problema do 16. jula 2025. godine, prema federalnim direktivama za sajberbezbjednost.
Kratki pregled informacija:
1. CISA je 25. juna 2025. uvrstila CVE-2019-6693 u svoj katalog poznatih ranjivosti koje se eksploatišu, potvrđujući time aktivnu eksploataciju Fortinet FortiOS sistema u stvarnim napadima.
2. Ranjivost se odnosi na “hard-coded” enkripcijske ključeve koji omogućavaju napadačima dešifrovanje osjetljivih podataka iz rezervnih kopija konfiguracije FortiOS sistema.
3. Organizacije koje koriste pogođene Fortinet FortiOS sisteme imaju rok do 16. jula 2025. da implementiraju mjere ublažavanja koje je obezbijedio proizvođač ili da prestanu sa upotrebom proizvoda.
Ranjivost “Hard-Coded” Akreditiva
Uvrštavanje CVE-2019-6693 u KEV katalog agencije CISA predstavlja značajnu eskalaciju u prijetnjama po operativni sistem Fortinet FortiOS. Ova ranjivost, koja je klasifikovana pod oznakom CWE-798 (Upotreba “Hard-Coded” Akreditiva), pokazala je aktivne obrasce eksploatacije, što je podstaklo federalne vlasti za sajber bezbjednost da nalože hitan odgovor organizacija. Suština ove ranjivosti leži u tome što omogućava napadačima da, poznavajući unaprijed upisani enkripcijski ključ, dešifruju osjetljive podatke sadržane u rezervnim kopijama konfiguracije FortiOS sistema. Mehanizam eksploatacije se oslanja na to da napadači dođu u posjed pomenutih rezervnih kopija, a zatim iskoriste predvidljivi kriptografski ključ za dekripciju povjerljivih konfiguracijskih podataka.
Tehnička klasifikacija pod CWE-798 ukazuje na to da ova ranjivost pripada široj kategoriji bezbjednosnih slabosti u kojima softver sadrži unaprijed upisane akreditive koji se ne mogu promijeniti bez modifikacije izvornog koda. U kontekstu FortiOS sistema, ovo znači da zadani enkripcijski ključevi koji se koriste za rezervne kopije konfiguracije ostaju fiksni i predvidljivi kroz sve instalacije. Sajber kriminalci koji posjeduju znanje o ovim ključevima potencijalno mogu pristupiti osjetljivim podacima o mrežnoj konfiguraciji, korisničkim akreditivima i drugim kritičnim bezbjednosnim parametrima pohranjenim u rezervnim kopijama. Katalog KEV služi kao mjerodavan izvor informacija o ranjivostima za koje je potvrđeno da se aktivno eksploatišu u realnim napadima, čime ova oznaka predstavlja poseban razlog za zabrinutost za branioca mreža i profesionalce za sajber bezbjednost. Dodavanje ove ranjivosti za Fortinet naglašava kritičnu prirodu slabosti uslijed “hard-coded” akreditiva u infrastrukturi preduzeća i mrežnoj infrastrukturi. Federalne agencije i operateri kritične infrastrukture moraju ovo shvatiti kao sigurnosni problem visokog prioriteta koji zahtijeva neposrednu pažnju i dodjelu resursa.
Faktori rizika:
– Pogođeni proizvodi: Fortinet FortiOS
– Uticaj: Napadači dešifruju osjetljive podatke u rezervnim kopijama konfiguracije FortiOS sistema poznavanjem “hard-coded” enkripcijskog ključa.
– Preduslovi za eksploataciju: Pristup rezervnim kopijama konfiguracije FortiOS sistema, poznavanje “hard-coded” enkripcijskog ključa, mogućnost obrade šifrovanih rezervnih kopija.
– CVSS 3.1 Ocjena: 6.5 (Srednja)
Mjere ublažavanja
Organizacije koje koriste Fortinet FortiOS sisteme moraju implementirati mjere ublažavanja koje je obezbijedio proizvođač prije isteka roka 16. jula 2025. godine, koji je odredila CISA. Zahtjevi za otklanjanje problema slijede smjernice operativne direktive BOD 22-01 za usluge u cloud-u, naglašavajući posvećenost federalne vlade proaktivnom upravljanju ranjivostima u ključnim sektorima infrastrukture. Mrežni administratori bi trebalo hitno da konsultuju bezbjednosno savjetovanje Fortineta FG-IR-19-007 za specifične procedure ublažavanja i dostupnost zakrpa. Organizacije koje nisu u mogućnosti da implementiraju adekvatne mjere ublažavanja moraju obustaviti upotrebu pogođenih proizvoda dok se ne uspostave odgovarajuće bezbjednosne mjere. Ovaj vremenski okvir odražava ozbiljnost aktivne eksploatacije i potencijal za kontinuirano djelovanje hakera usmjerenih na ranjive FortiOS instalacije širom mrežne infrastrukture preduzeća.
