更新(2025 年 2 月 11 日 19:32):在发布报道后,Fortinet 告知我们,今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞,已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击,并为新发现的 CSF 代理请求利用路径提供了临时解决方案,但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示,如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级,则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息,原文如下:
Fortinet 今日警告称,攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞,劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞(CVE-2025-24472)可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。
Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号,此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞(编号 CVE-2024-55591),该漏洞影响相同版本的软件。然而,已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。
据 Fortinet 介绍,攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号,并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置,并使用之前建立的恶意账号登录 SSLVPN 实例,“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息,但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标(IoC)的报告,称自 2024 年 11 月中旬以来,暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。
“该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更,”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量,但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。”
Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线,称其包含四个独特阶段:
漏洞扫描阶段(2024 年 11 月 16 日至 23 日)
侦察阶段(2024 年 11 月 22 日至 27 日)
SSL VPN 配置阶段(2024 年 12 月 4 日至 7 日)
横向移动阶段(2024 年 12 月 16 日至 27 日)
“鉴于不同入侵事件之间在手法和基础设施方面存在细微差别,可能有多个个人或团体参与了此次攻击活动,但 jsconsole 使用情况是贯穿始终的共同点。”此外,Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况,并在五天后收到来自该公司产品安全事件响应团队(PSIRT)的确认,称该活动已知且正在调查中。
Fortinet 建议无法立即部署安全更新的管理员,通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址,作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见,但截至发稿时尚未收到回复。
发表评论