Fortinet發(fā)布警告：黑客利用新零日漏洞劫持防火墻

Fortinet近日發(fā)布警告，稱威脅攻擊者正在利用FortiOS和FortiProxy中的一個(gè)新零日漏洞（CVE-2025-24472，CVSS評(píng)分為8.1）來劫持Fortinet防火墻。該漏洞是一個(gè)身份驗(yàn)證繞過問題，遠(yuǎn)程攻擊者可以通過構(gòu)造惡意CSF代理請(qǐng)求獲取超級(jí)管理員權(quán)限。

漏洞詳情與受影響的版本

該漏洞影響FortiOS 7.0.0到7.0.16版本，以及FortiProxy 7.0.0到7.0.19和7.2.0到7.2.12版本。Fortinet已在FortiOS 7.0.17及以上版本和FortiProxy 7.0.20/7.2.13及以上版本中修復(fù)了該漏洞。

Fortinet將該漏洞添加到1月披露的CVE-2024-55591漏洞的咨詢中。CVE-2024-55591同樣是一個(gè)身份驗(yàn)證繞過漏洞，影響FortiOS 7.0.0至7.0.16版本和FortiProxy 7.0.0至7.0.19及7.2.0至7.2.12版本。攻擊者可以通過構(gòu)造針對(duì)Node.js websocket模塊的請(qǐng)求來獲取超級(jí)管理員權(quán)限。

Fortinet在公告中表示：“鑒于報(bào)告顯示該漏洞已被廣泛利用，建議用戶盡快采取措施?！?/p>

攻擊者的利用方式與臨時(shí)緩解措施

威脅攻擊者利用這些漏洞創(chuàng)建非法管理員或本地用戶，修改防火墻策略，并通過SSL VPN訪問內(nèi)部網(wǎng)絡(luò)。Fortinet建議用戶暫時(shí)禁用HTTP/HTTPS管理界面，或通過本地策略限制可訪問的IP地址。

Arctic Wolf的研究人員最近觀察到針對(duì)Fortinet FortiGate防火墻的攻擊，涉及未經(jīng)授權(quán)的登錄、賬戶創(chuàng)建和配置更改。該公司推測(cè)，攻擊者很可能利用了目標(biāo)系統(tǒng)中的零日漏洞。

Arctic Wolf觀察到的攻擊活動(dòng)

Arctic Wolf表示，此次攻擊活動(dòng)可分為四個(gè)階段：

• 漏洞掃描（2024年11月16日至2024年11月23日）
• 偵察（2024年11月22日至2024年11月27日）
• SSL VPN配置（2024年12月4日至2024年12月7日）
• 橫向移動(dòng)（2024年12月16日至2024年12月27日）

Arctic Wolf在2024年12月12日向Fortinet報(bào)告了這一活動(dòng)，F(xiàn)ortiGuard Labs于2024年12月17日確認(rèn)并開始調(diào)查。

Fortinet提醒用戶，鑒于該漏洞已被廣泛利用，建議盡快更新到最新版本，并采取必要的防御措施，以保護(hù)其網(wǎng)絡(luò)安全。