零日漏洞正在推动 Fortinet 防火墙攻击（CVE-2024-55591 已确认）

目前，针对公共互联网上暴露管理界面的 FortiGate 设备的活跃活动正在导致未经授权的管理登录和配置更改、新帐户的创建以及 SSL VPN 身份验证的性能。

研究人员发现，攻击者瞄准设备执行未经授权的管理登录和其他配置更改、创建新帐户以及执行 SSL VPN 身份验证。

自从 12 月初首次注意到 FortiGate 设备上的可疑活动以来，Arctic Wolf 研究人员 就一直在跟踪该活动。他们观察到，威胁行为者获得了受影响防火墙（其固件版本范围为 FortiOS 7.0.0-7.0.16 和 FortiProxy 7.0.0-7.2.12）上的管理界面的访问权限，并更改了其配置。此外，在受感染的环境中，攻击者还使用 DCSync 来提取凭据。

Artic Wolf在发现该活动后于 12 月发布了安全公告，而最近的博客文章则披露了更详细的细节，包括可能利用零日漏洞的攻击者。然而，他们尚未“最终确认”这个初始访问向量，尽管受影响组织的压缩时间线以及受该活动影响的固件版本表明攻击者正在利用尚未公开的漏洞。

他们补充说，该活动的受害者并不代表特定部门或组织规模，这表明 “该目标本质上是机会主义的，而不是一个经过深思熟虑和有条不紊的目标”。

与合法的防火墙活动相比，让研究人员警惕恶意活动的事实是，攻击者广泛使用来自少数异常 IP 地址的jsconsole接口。下一代防火墙产品 FortiGate 设备具有标准的“方便”研究人员解释说，该功能允许管理员通过基于网络的管理界面访问命令行界面。

更具体地说，从这些可能的欺骗性 IP 地址打开了到 TCP 端口 8023 （设备上基于 Web 的 CLI 端口）以及 TCP 端口 9980 的可疑连接，该端口用于安全结构功能和发送 REST API。到 FortiGate 设备。

“根据 FortiGate 知识库，当通过基于 Web 的 CLI 控制台进行更改时，用户界面将被记录为 jsconsole 以及进行更改的人的源 IP 地址，”他们写道。“相比之下，通过 ssh 进行的更改将在 UI 中列为 ssh。”

仍在持续的四阶段网络攻击

研究人员将此次活动分为四个阶段，从 11 月中旬开始：首先是漏洞扫描阶段，然后是 11 月下旬的侦察阶段，12 月初的 SSL VPN 配置阶段，最后是从中旬开始的横向移动阶段。到12月下旬。不过，他们指出，该活动仍在进行中，未来可能会发现更多活动。

通常，每个受害者组织从异常 IP 地址成功登录jsconsole 的总数 从数百到数千个条目不等，涵盖了该活动的所有四个阶段。研究人员写道：“这些会话中的大多数持续时间都很短，相应的注销事件在一秒或更短的时间内发生。” “在某些情况下，同一秒内会发生多个登录或注销事件，每秒最多会发生四个事件。”

不要将管理接口暴露到公共互联网！

Fortinet 设备是威胁行为者的热门目标，因为产品中发现的漏洞被广泛利用来破坏网络。研究人员表示，为了防止攻击，组织不应将 Fortinet 设备管理界面暴露到公共互联网，无论产品规格如何。相反，对这些接口的访问应仅限于受信任的内部用户或预授权的 IP。

管理员还应遵循定期更新设备固件的常见最佳实践，以修复任何错误或其他安全问题。此外，研究人员补充说，组织还应确保为组织的所有防火墙设备配置系统日志监控，以增加及早检测恶意活动的可能性。

Fortinet 确认新的零日漏洞

Fortinet 发布了FortiOS 和 FortiProxy 中新的关键身份验证绕过漏洞（CVE-2024-55591，CVSS：9.6） 的 详细信息（FG-IR-24-535） ，声称该漏洞被用于劫持防火墙和破坏业务网络。

该公司 在发布的一份通知中表示：“影响 FortiOS 和 FortiProxy 的替代路径或通道身份验证绕过漏洞 [CWE-288] 可能允许远程攻击者通过精心设计的 Node.js websocket 模块请求来获取超级管理员权限。”前。

该 漏洞影响以下版本：

FortiOS 7.0.0 至 7.0.16 - 升级至 7.0.17+

FortiProxy 7.2.0 至 7.2.12 - 升级至 7.2.13+

FortiProxy 7.0.0 至 7.0.19 - 升级至 7.0.20+

对于所有防火墙设备， 强烈建议 在所有配置中限制管理接口对受信任内部网络的访问，无论供应商如何。

原文始发于微信公众号（Ots安全）：零日漏洞正在推动 Fortinet 防火墙攻击（CVE-2024-55591 已确认）