近日,Fortinet发布了一个重要的安全公告(FG-IR-24-535),披露了FortiOS 和 FortiProxy中存在的认证绕过漏洞(CVE-2024-55591)。这个漏洞已被活跃利用,攻击者可以通过发送特制的请求来绕过认证,从而获得超级管理员权限。
背景
2025年1月14日,Fortinet发布了上述安全公告,针对影响FortiOS和FortiProxy的严重漏洞。CVE-2024-55591被评估为CVSSv3评分为9.6,属于高危险性漏洞。
分析
CVE-2024-55591是一个认证绕过漏洞,攻击者可以通过向Node.js websocket模块发送特制请求来利用这个漏洞。成功利用该漏洞后,攻击者可能会获得对受影响设备的超级管理员权限。Fortinet的安全公告指出,这个漏洞已经在野外被利用。
活动历史
Fortinet FortiOS和FortiProxy曾经多次成为黑客攻击的目标,包括由高级持久性威胁(APT)团体发起的攻击。自2019年以来,我们已经提到了多个影响Fortinet产品的漏洞,包括影响Fortinet和其他供应商的SSL VPN。
实际利用
截至本文发布时,没有公开可用的CVE-2024-55591的利用示例。然而,研究人员在1月10日发布了一篇博客文章,详细描述了从11月中旬开始的一次针对Fortinet FortiGate防火墙设备的活动。该活动涉及四个阶段:扫描、侦察、SSL VPN配置和横向移动。更多关于此次活动的细节,请参阅Arctic Wolf的博客文章。
补丁和解决方案
Fortinet已发布了针对CVE-2024-55591的补丁。受影响的产品包括FortiOS 7.0、FortiProxy 7.0和FortiProxy 7.2。具体的升级版本如下:
| 受影响产品 | 受影响版本 | 修复版本 |
|---|---|---|
| FortiOS 7.0 | 7.0.0至7.0.16 | 升级到7.0.17或以上 |
| FortiProxy 7.0 | 7.0.0至7.0.19 | 升级到7.0.20或以上 |
| FortiProxy 7.2 | 7.2.0至7.2.12 | 升级到7.2.13或以上 |
如果不能立即进行升级,Fortinet还提供了工作绕过步骤以及IOCs(指标告警)。同时,Fortinet还发布了多个其他安全公告,涉及影响FortiOS和FortiProxy等多个产品的漏洞。
确定受影响系统
为了帮助客户识别受影响的系统,Tenable提供了针对CVE-2024-55591的插件。客户也可以使用Tenable Attack Surface Management来识别公共接口的Fortinet资产。
更多信息
- Fortinet FG-IR-24-535安全公告
- Arctic Wolf博客文章:Console Chaos:针对Fortinet FortiGate防火墙公共管理接口的活动
- 加入Tenable的安全响应团队
- 了解更多关于Tenable One的信息
希望这些信息能帮助您更好地应对当前的安全挑战。