据称黑客在暗网论坛出售FortiGate防火墙零日漏洞

据报道，一名威胁行为者在一个著名的暗网论坛上宣传了针对 Fortinet 的 FortiGate 防火墙的零日漏洞。

该漏洞声称启用未经身份验证的远程代码执行 （RCE） 和对 FortiOS 的完全配置访问，使攻击者能够在不需要凭据的情况下夺取对易受攻击设备的控制权。

这一令人担忧的发展引发了人们对 Fortinet 防火墙安全性的严重担忧，Fortinet 防火墙在全球企业和政府机构中广泛使用。

ThreatMon 观察到的论坛帖子拥有广泛的功能，包括访问从受感染设备中提取的敏感配置文件。据称，这些文件包含：

• 本地用户凭据：存储在 .local_users.json

• 管理员帐户详细信息：中记录的权限和信任关系。admin_accounts.json

• 双重身份验证（2FA）状态：有关 FortiToken 配置的信息（）。two_factor.json

• 防火墙策略和网络配置：完整的规则集、NAT 映射、内部 IP 资产和地址组。

此类数据可能允许攻击者绕过安全措施，渗透网络，并可能发起进一步的攻击。该漏洞似乎针对易受身份验证绕过漏洞影响的 FortiOS 版本，这是 Fortinet 产品中反复出现的问题。

暗网索赔

Fortinet 漏洞的历史背景

近年来，Fortinet 面临多个零日漏洞。例如，今年早些时候，新发现的黑客实体 Belsen Group 泄露了超过 15,000 个 FortiGate 防火墙的配置文件。

该漏洞与 CVE-2022-40684 有关，这是一个于 2022 年 10 月披露的身份验证绕过漏洞。尽管两年前被利用，但由于静态防火墙配置，泄露的数据仍然具有相关性。

最近，Fortinet 披露了另一个关键漏洞 （CVE-2024-55591），使攻击者能够通过精心设计的请求获得超级管理员权限。

此缺陷影响了 FortiOS 版本 7.0.0 到 7.0.16 以及 FortiProxy 版本 7.0.0 到 7.0.19 和 7.2.0 到 7.2.12。这些事件凸显了针对 Fortinet 产品的令人不安的漏洞利用模式。

宣传的零日漏洞对依赖 Fortinet 防火墙的组织构成了严重风险：

• 未经授权的访问：攻击者可以获得对设备的管理控制权、修改配置和提取敏感数据。

• 网络入侵：被利用的防火墙可以用作网络横向移动的入口点。

• 数据泄露：泄露的凭据和配置文件可能会导致泄露机密信息。

运营中断：更改的防火墙策略可能会中断正常的网络运营或为未来的攻击创造漏洞。

据报道，超过 300,000 个 Fortinet 防火墙面临类似 RCE 漏洞的风险，因此潜在损害的规模是巨大的。

Fortinet 一直敦促用户及时应用补丁以缓解产品漏洞。该公司还发布了公告，详细说明了入侵指标 （IOC） 和建议的安全措施，例如禁用 HTTP/HTTPS 管理界面或通过本地策略限制访问。

然而，补丁的采用仍然具有挑战性，许多在过去违规期间暴露的设备在数月或数年后被发现未打补丁。

随着网络犯罪分子继续利用 Fortinet 防火墙等广泛使用的安全产品中的漏洞，组织必须优先考虑主动措施：

• 定期将固件更新到最新版本。

• 监控网络流量是否存在异常活动。

• 对管理界面实施严格的访问控制。

• 定期审核防火墙配置。

最新的零日漏洞突显了网络威胁的日益复杂，以及所有行业对强大网络安全实践的迫切需求。

原文来自: cybersecuritynews.com