攻击者利用新的零日漏洞劫持Fortinet防火墙

admin 2025年2月12日14:35:01评论42 views字数 1426阅读4分45秒阅读模式
攻击者利用新的零日漏洞劫持Fortinet防火墙

Fortinet警告称,威胁行为者正在利用FortiOS和FortiProxy中的一个新的零日漏洞(编号为CVE-2025-24472,CVSS评分为8.1)来劫持Fortinet防火墙。

该漏洞是一个身份验证绕过问题,可能允许远程攻击者通过制作恶意构造的CSF代理请求来获取超级管理员权限。

公告中写道:“一个影响FortiOS 7.0.0至7.0.16和FortiProxy 7.2.0至7.2.12、7.0.0至7.0.19的身份验证绕过漏洞[CWE-288]可能允许远程攻击者通过制作恶意构造的CSF代理请求获取超级管理员权限。”

该漏洞影响FortiOS 7.0.0至7.0.16、FortiProxy 7.0.0至7.0.19以及FortiProxy 7.2.0至7.2.12版本。Fortinet已在FortiOS 7.0.17及以上版本和FortiProxy 7.0.20/7.2.13及以上版本中修复了该漏洞。

Fortinet将此漏洞添加到与2024年1月披露的漏洞CVE-2024-55591相关的公告中。CVE-2024-55591漏洞是一个影响FortiOS 7.0.0至7.0.16和FortiProxy 7.0.0至7.0.19以及7.2.0至7.2.12版本的身份验证绕过漏洞[CWE-288]。该漏洞可能允许远程攻击者通过向Node.js websocket模块发送恶意构造的请求来获取超级管理员权限。

“一个影响FortiOS和FortiProxy的身份验证绕过漏洞[CWE-288]可能允许远程攻击者通过向Node.js websocket模块或制作恶意构造的CSF代理请求获取超级管理员权限。”公告中写道,“请注意,报告显示该漏洞正在被广泛利用。”

威胁行为者利用这些漏洞创建恶意管理员或本地用户,修改防火墙策略,并通过访问SSL VPN进入内部网络。

Fortinet还提供了针对此问题的临时缓解措施,建议禁用HTTP/HTTPS管理界面或通过本地策略限制可以访问该界面的IP地址。

Arctic Wolf的研究人员最近观察到针对Fortinet FortiGate防火墙的攻击,涉及未经授权的登录、账户创建和配置更改。

Arctic Wolf表示,当前的活动可以分为四个不同的阶段:

1. 漏洞扫描(2024年11月16日至2024年11月23日)

2. 侦察(2024年11月22日至2024年11月27日)

3. SSL VPN配置(2024年12月4日至2024年12月7日)

4. 横向移动(2024年12月16日至2024年12月27日)

该公司推测,威胁行为者可能利用了目标系统中的零日漏洞。

“12月初,Arctic Wolf Labs开始观察到涉及Fortinet FortiGate防火墙设备可疑活动的攻击活动。通过访问受影响防火墙的管理界面,威胁行为者能够更改防火墙配置。在受感染的环境中,观察到威胁行为者使用DCSync提取凭据。”Arctic Wolf表示,“虽然尚未确认此次攻击的初始访问向量,但Arctic Wolf Labs高度确信,考虑到受影响组织的时间线压缩以及受影响的固件版本,很可能是大规模利用了零日漏洞。”

Arctic Wolf Labs于2024年12月12日向Fortinet报告了此次攻击活动,FortiGuard Labs于2024年12月17日确认已知并正在调查。

原文始发于微信公众号(黑猫安全):攻击者利用新的零日漏洞劫持Fortinet防火墙

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月12日14:35:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击者利用新的零日漏洞劫持Fortinet防火墙https://cn-sec.com/archives/3730708.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息