近日,Fortinet发布警告称,其FortiGate防火墙设备因管理接口暴露在公共互联网上,正遭受新型攻击。攻击者利用新发现的零日漏洞(CVE - 2024 - 55591),通过未经授权的管理登录、创建新账户、通过这些账户进行SSL VPN认证以及进行各种配置更改,从而入侵受影响的防火墙。
一、漏洞详情
该零日漏洞被命名为CVE - 2024 - 55591,CVSS评分为9.6,属于身份验证绕过漏洞。攻击者可通过精心构造的请求,利用Node.js WebSocket模块,绕过身份验证并获取超级管理员权限。受影响的设备固件版本范围为FortiOS 7.0.0至7.0.16,以及FortiProxy 7.0.0至7.0.19和7.2.0至7.2.12。
二、攻击过程
此次攻击活动自2024年11月中旬开始,攻击者通过DCSync技术提取凭据,实现横向移动。攻击分为四个阶段,从漏洞扫描和侦察到配置更改和横向移动。攻击者还创建了新的超级管理员账户,用于设置多达六个新的本地用户账户,并将这些账户添加到现有组中,以便进行SSL VPN访问。
三、安全建议
为缓解此类风险,建议组织不要将防火墙管理接口暴露在互联网上,并限制访问权限,仅允许可信用户访问。Fortinet已发布安全公告,建议受影响用户升级到以下版本:
-
FortiOS 7.0.17或更高版本 -
FortiProxy 7.0.20或更高版本 -
FortiProxy 7.2.13或更高版本
四、漏洞披露与修复
Fortinet于2025年1月14日发布安全公告,详细说明了该漏洞,并提供了修复建议。美国网络安全和基础设施安全局(CISA)已将该漏洞添加到其已知被利用漏洞(KEV)目录中,要求联邦机构在2025年1月21日之前应用修复措施。
五、攻击影响与后续
此次攻击活动的目标并不局限于特定行业或组织规模,攻击者利用自动化登录/登出事件,表现出机会主义的攻击特征。Fortinet表示,已主动与客户沟通,提供关于CVE - 2024 - 55591的缓解建议,包括解决方案和临时措施。
原文始发于微信公众号(独角鲸网络安全实验室):紧急警告:新0day漏洞被用于攻击暴露接口的防火墙
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论