紧急警告:新0day漏洞被用于攻击暴露接口的防火墙

admin 2025年1月22日09:20:22评论21 views字数 892阅读2分58秒阅读模式

近日,Fortinet发布警告称,其FortiGate防火墙设备因管理接口暴露在公共互联网上,正遭受新型攻击。攻击者利用新发现的零日漏洞(CVE - 2024 - 55591),通过未经授权的管理登录、创建新账户、通过这些账户进行SSL VPN认证以及进行各种配置更改,从而入侵受影响的防火墙。

一、漏洞详情

该零日漏洞被命名为CVE - 2024 - 55591,CVSS评分为9.6,属于身份验证绕过漏洞。攻击者可通过精心构造的请求,利用Node.js WebSocket模块,绕过身份验证并获取超级管理员权限。受影响的设备固件版本范围为FortiOS 7.0.0至7.0.16,以及FortiProxy 7.0.0至7.0.19和7.2.0至7.2.12。

二、攻击过程

此次攻击活动自2024年11月中旬开始,攻击者通过DCSync技术提取凭据,实现横向移动。攻击分为四个阶段,从漏洞扫描和侦察到配置更改和横向移动。攻击者还创建了新的超级管理员账户,用于设置多达六个新的本地用户账户,并将这些账户添加到现有组中,以便进行SSL VPN访问。

三、安全建议

为缓解此类风险,建议组织不要将防火墙管理接口暴露在互联网上,并限制访问权限,仅允许可信用户访问。Fortinet已发布安全公告,建议受影响用户升级到以下版本:

  • FortiOS 7.0.17或更高版本
  • FortiProxy 7.0.20或更高版本
  • FortiProxy 7.2.13或更高版本

四、漏洞披露与修复

Fortinet于2025年1月14日发布安全公告,详细说明了该漏洞,并提供了修复建议。美国网络安全和基础设施安全局(CISA)已将该漏洞添加到其已知被利用漏洞(KEV)目录中,要求联邦机构在2025年1月21日之前应用修复措施。

五、攻击影响与后续

此次攻击活动的目标并不局限于特定行业或组织规模,攻击者利用自动化登录/登出事件,表现出机会主义的攻击特征。Fortinet表示,已主动与客户沟通,提供关于CVE - 2024 - 55591的缓解建议,包括解决方案和临时措施。

原文始发于微信公众号(独角鲸网络安全实验室):紧急警告:新0day漏洞被用于攻击暴露接口的防火墙

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日09:20:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   紧急警告:新0day漏洞被用于攻击暴露接口的防火墙http://cn-sec.com/archives/3653370.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息