FortiOS 是 Fortinet 公司核心的网络安全操作系统,广泛应用于 FortiGate 下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。
FortiProxy 则是 Fortinet 提供的企业级安全代理产品,主要用于内容过滤、Web 访问控制和数据安全防护等场景。
Fortinet 公司于 2025 年 1 月 14 日发布安全公告,确认其下一代防火墙产品 FortiGate(FortiOS)和代理产品 FortiProxy 中存在一个高危的认证绕过漏洞,漏洞编号为 CVE-2024-55591。
利用该漏洞,攻击者可在未授权情况下获得管理权限,并对防火墙配置进行修改,进而威胁内部网络安全。目前已有在野利用案例,建议使用受影响版本的用户尽快采取紧急措施并升级到官方已发布的修复版本。
漏洞成因
漏洞主要与 FortiOS 和 FortiProxy 在处理认证逻辑时缺乏严格校验有关,导致远程攻击者可以在未授权的情况下绕过身份验证流程,获取超级管理员权限。
攻击者可通过向开放在互联网上的 FortiGate 管理接口(HTTPS 或 CLI Web Console)发送特定探测或恶意请求来触发该漏洞,从而在设备上执行多种非法操作。
漏洞影响
攻击者成功利用该漏洞可在 FortiGate/FortiProxy 设备上执行任意管理操作,包括创建或重置管理员账户、读取或修改防火墙策略、配置 SSL VPN 并进一步进行网络横向移动等。
一旦攻击者控制防火墙管理权限,可能导致网络安全防护体系被瓦解,产生敏感数据泄露风险或成为后续针对内部网络高危攻击的跳板。
处置优先级:高
漏洞类型:认证绕过
漏洞危害等级:严重
触发方式:网络远程
权限认证要求:无需权限(Pre-Auth)
系统配置要求:默认配置即可触发
用户交互要求:无需用户交互
利用成熟度:已出现在野攻击
修复复杂度:低,官方提供补丁修复方案
根据 Fortinet 官方公告信息,主要受影响的产品和版本包括: FortiGate(FortiOS) 7.0.0 ~ 7.0.16 FortiProxy 7.2.0 ~ 7.2.12 FortiProxy 7.0.0 ~ 7.0.19 升级后的安全版本: FortiGate(FortiOS) 7.0.17及更高版本 FortiProxy 7.2.13及更高版本 FortiProxy 7.0.20及更高版本
临时缓解方案
将FortiGate/FortiProxy的管理端口(HTTPS/SSH/CLI 等)限制在受信任的内部网络或专用管理网络,避免直接暴露在互联网上。
使用防火墙或安全策略过滤管理端口仅允许特定 IP 地址访问。
检查系统日志(logdesc="Admin login successful" 等)中是否存在来源于可疑 IP(如 127.0.0.1、8.8.8.8 等)且使用 jsconsole UI 的异常登录记录。
监控是否存在异常的管理员账号(如随机字母数字组合)或 SSL VPN 配置变更。
升级修复方案
如果已有确凿证据表明设备被入侵,Fortinet 官方建议对受影响的设备进行出厂重置或全新部署,从干净镜像重新安装系统并导入安全配置文件;随后再进行完整性校验,以确保无后门或篡改残留。
1月15日 互联网公开披露该漏洞
1月15日 长亭应急安全实验室复现漏洞
1月16日 长亭安全应急响应中心发布通告
参考资料:
[1] https://www.fortiguard.com/psirt/FG-IR-24-535
[2] https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
原文始发于微信公众号(长亭安全应急响应中心):【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论