网络安全软件厂商Fortinet在发现一个严重漏洞后保持沉默超过一周，而据报道黑客正在利用这个漏洞，在一些重要客户的服务器上执行恶意代码。

Fortinet对记者的邮件询问一直未作回应，也没有发布任何公开通告来说明这个漏洞的细节或受影响的具体产品。这种不透明的处理方式与该公司此前面对零日漏洞时的态度如出一辙。在缺乏权威信息来源的情况下，客户、记者和其他相关人士只能通过社交媒体上的讨论来了解攻击情况。

据一篇Reddit帖子披露，这个漏洞影响的是FortiManager（一款用于管理组织内所有网络流量和设备的软件工具）。具体受影响的版本包括：

• 7.6.0及以下版本
• 7.4.4及以下版本
• 7.2.7及以下版本
• 7.0.12及以下版本
• 6.4.14及以下版本

使用这些版本的用户可以通过升级到以下版本来保护自己：7.6.1或更高版本、7.4.5或更高版本、7.2.8或更高版本、7.0.13或更高版本，或6.4.15或更高版本。有报告称，基于云的FortiManager Cloud同样存在漏洞。

一些FortiGate网络管理员表示收到了公司发来的邮件，通知他们有可用更新并建议安装。但也有人表示没有收到类似邮件。Fortigate至今没有发布任何公开通告，也没有给这个零日漏洞分配CVE编号供安全从业者追踪。

这个漏洞最早在10月13日就被人讨论。据独立研究员Kevin Beaumont称，这个安全漏洞源于FortiManager的一个默认设置，该设置允许序列号未知或未经授权的设备注册到组织的FortiManager控制面板中。具体细节尚不清楚，但Reddit上一个现已删除的评论指出，这个零日漏洞允许攻击者"从任何Fortigate设备窃取证书，注册到目标的FortiManager并获取访问权限"。

Beaumont在Mastodon上引用了这条Reddit评论解释说："现在人们在Reddit上公开讨论攻击者如何利用这个漏洞——他们正在用类似'localhost'这样的主机名将未经授权的FortiGate设备注册到FortiManager中，并借此获得远程代码执行权限。"

在同一讨论串中，另一位用户推测攻击者可能是通过某种方式窃取了用于验证客户网络设备的数字证书，将其加载到他们控制的FortiGate设备上，然后将设备注册到客户网络中。

该用户继续说道："从这个位置，他们可以配置进入你的网络，或者可能执行其他管理操作（比如可能将可信管理设备的配置同步到他们自己的设备上？）。从这些讨论中看不太清楚具体细节。但从阻止未知序列号的缓解措施来看，即使是携带证书的设备，也需要经过验证才能加入fortimanager。"

Beaumont还表示，根据他看到的证据，中国的黑客组织"从今年早些时候就开始利用这个漏洞入侵内部网络"。

超6万台设备暴露在外

在这篇文章发布到Ars后，Beaumont发表了一篇文章，指出漏洞很可能存在于FortiGate和FortiManager之间的通信协议中。FGFM是允许Fortigate防火墙设备通过541端口与管理器通信的协议。正如Beaumont指出的，Shodan搜索引擎显示有超过6万个这样的连接暴露在互联网上。

Beaumont写道：

"攻击者只需满足一个条件：需要有一个有效的证书来建立连接。但是，你可以直接从FortiGate设备上获取一个证书并重复使用它。所以实际上，注册并没有任何门槛。

一旦注册成功，就可以利用漏洞通过这个伪造的FortiGate连接在FortiManager上执行远程代码。

从FortiManager入手，你就可以管理下游的合法FortiGate防火墙，查看配置文件，获取凭据并修改配置。由于很多MSP（管理服务提供商）都使用FortiManager，你可以利用这个漏洞进入下游的内部网络。

由于FGFM的设计方式（NAT穿越情况），这也意味着如果你获得了一个受管理的FortiGate防火墙的访问权限，就可以向上访问到管理该设备的FortiManager然后再向下访问其他防火墙和网络。"

在这篇文章发布到Ars时，情况变得更加棘手：FortiGate的支持门户出现连接错误，导致用户无法访问该网站。

以隐匿求安全

FortiGate有着悄悄修补严重安全漏洞的历史，往往要等到漏洞被广泛利用后才公开披露。该公司的代表一再拒绝回答Ars关于其安全漏洞披露政策的问题，尤其是那些被国家级黑客利用的漏洞。

FortiGate对这个零日漏洞的不透明态度，与该公司首席信息安全官Carl Windsor在五月发布的一篇文章形成鲜明对比。在那篇文章中，他声称公司致力于"在产品开发和漏洞披露方面成为道德和负责任的榜样"。他还补充说："我们一直以来都致力于负责任的彻底透明，这包括主动遵守最高标准的负责任披露实践，这些实践与国际和行业最佳实践保持一致。"

本月早些时候，Fortinet的研究人员发布了一份长达4000字的分析报告，详细介绍了竞争对手Ivanti产品中被国家级黑客利用的零日漏洞。

Fortinet现已发布公开通告

https://www.fortiguard.com/psirt/FG-IR-24-423