周二,Fortinet发布了十多份新的安全公告,阐述了近期在其产品里发现的严重和高危漏洞,其中就有自2024年11月起已在野外被利用的零日漏洞。
这个零日漏洞被标记为CVE - 2024 - 55591,Fortinet称其是影响FortiOS和FortiProxy的严重漏洞。远程攻击者能够通过向Node.js websocket模块发送特制请求来获取超级管理员权限。
Fortinet表示,CVE - 2024 - 55591影响以下版本:
- FortiOS的7.0.0至7.0.16版本;
- FortiProxy的7.2.0至7.2.12版本;
- FortiProxy的7.0.0至7.0.19版本。
而修复补丁包含在以下版本中:
- FortiOS的7.0.17版本;
- FortiProxy的7.2.13版本;
- FortiProxy的7.0.20版本。
Fortinet已经确认该漏洞在野外被利用,并且在公告里提供了入侵指标(IoCs),以助力防御者检测攻击。
上周,网络安全公司Arctic Wolf发出警告,称观察到针对Fortinet FortiGate防火墙的攻击活动,这些防火墙的管理界面暴露在互联网上,这引发了关于潜在零日漏洞的新闻报道。
Arctic Wolf称:“这种攻击活动涉及对防火墙管理界面的未授权管理员登录、创建新账户、利用这些账户进行SSL VPN认证以及其他各种配置更改。”并且补充道:“虽然最初的攻击途径还没有完全确定,但零日漏洞的可能性极大。”
虽然Fortinet的公告未提及Arctic Wolf,但两家公司共有的入侵指标表明,CVE - 2024 - 55591正是Arctic Wolf在攻击中观察到的零日漏洞。Arctic Wolf在12月中旬向Fortinet通报了这些攻击,Fortinet表示已经知晓并且正在调查相关活动。
Arctic Wolf在2024年11月和12月追踪了这个攻击活动,先是观察到漏洞扫描,接着是侦察、建立SSL VPN访问以及在受感染系统上的横向移动。
Arctic Wolf报告称,攻击者只是对少数组织进行了机会性利用,不过攻击者的目标还不明确。
Fortinet在周二还修复了另一个严重漏洞CVE - 2023 - 37936,这是FortiSwitch中的一个硬编码加密密钥问题,可能让远程未认证攻击者通过恶意加密请求执行代码。
1月14日发布的13份公告涉及影响FortiManager、FortiAnalyzer、FortiClient、FortiOS、FortiRecorder、FortiProxy、FortiSASE、FortiVoice、FortiWeb和FortiSwitch等产品的高危漏洞。
这些安全漏洞可能被利用来实现账户删除后的持久性、任意文件写入、经过认证的代码和命令执行、暴力破解攻击、未经认证提取配置数据以及造成拒绝服务(DoS)状态。
Fortinet尚未将这些漏洞中的任何一个标记为已被利用,但指出其中一个漏洞是由WatchTowr披露的。
威胁行为者针对Fortinet产品漏洞发动攻击并不罕见,所以组织不应忽视最新一轮安全漏洞的修补或者缓解措施。
