CVE-2024-55591 和 CVE-2025-24472：Fortinet 的双重漏洞噩梦

Forescout 研究人员发现了一个名为 Mora_001 的新勒索软件组织，它利用 Fortinet 产品中的两个严重漏洞获取对防火墙的未授权访问，随后部署了名为 SuperBlack 的定制加密工具。

这两个漏洞涉及身份验证绕过，并被分配了标识符 CVE-2024-55591（CVSS 评分：9.8）和 CVE-2025-24472（CVSS 评分：8.1）。Fortinet 于 2025 年 1 月公开披露了这些漏洞。虽然 CVE-2024-55591 立即被确认为被积极利用，但 CVE-2025-24472 最初引起了混乱——Fortinet 最初否认利用，但后来承认该漏洞确实已被攻击者利用。

Forescout 于 2025 年 1 月下旬首次观察到与 SuperBlack 相关的攻击，并确认黑客利用了 CVE-2025-24472。在发现此漏洞后，Fortinet 更新了其安全公告，承认存在积极利用漏洞的行为。

SuperBlack 攻击有条不紊地展开。攻击者首先通过进行基于 WebSocket 的 jsconsole 攻击或直接向防火墙接口发送精心设计的 HTTPS 请求，将权限提升至“super_admin”。一旦获得访问权限，他们就会扫描网络、窃取 VPN、WMI、SSH 和 TACACS+/RADIUS 凭据，并在目标基础设施内横向移动。在加密文件之前，攻击者会窃取敏感数据。

在窃取数据后，攻击者启动加密，随后部署 WipeBlack 工具，抹去加密活动的痕迹，以阻碍取证调查。主要迹象表明，SuperBlack 勒索软件与 LockBit 操作密切相关：

• SuperBlack 勒索软件基于泄露的 LockBit 3.0 源代码。

• 先前与 LockBit 活动相关联的 IP 地址与 Mora_001 攻击中观察到的 IP 地址有很大重叠。

• WipeBlack 之前曾在与 LockBit 相关的活动中被发现，例如 BrainCipher、EstateRansomware 和 SenSayQ。

这些发现强烈暗示 Mora_001 与以前参与 LockBit 的关键人物或附属机构之间存在潜在联系。