Fortinet 警告称，存在针对暴露接口的防火墙的零日漏洞

网络安全公司 Fortinet 已就针对管理界面暴露的 FortiGate 防火墙设备的零日漏洞攻击活动发出警报。这些攻击是由未知威胁行为者发起的，已破坏了全球组织，并凸显了保护暴露基础设施的重要性。

活动详情：攻击如何展开

该恶意活动始于 2024 年 11 月中旬，利用尚未确定的初始访问向量来破坏防火墙管理接口。Arctic Wolf 的网络安全研究人员认为，鉴于该漏洞传播速度之快且受影响的固件版本之多，攻击者利用了零日漏洞。运行 7.0.14 至 7.0.16 之间固件版本的设备是专门针对的攻击目标。

攻击者遵循了精心策划的四阶段策略：

1. 侦察和扫描——使用自动化工具和不寻常的 IP 识别易受攻击的设备。
2. 配置操作——更改输出设置以帮助收集情报。
3. 权限提升——创建超级管理员账户并修改现有用户账户。
4. 利用和凭证收集——建立 SSL VPN 隧道并使用 DCSync 技术提取凭证进行横向移动。

攻击者使用jsconsole界面和虚拟专用服务器 (VPS) 托管提供商的 VPN 隧道是一致的入侵指标。

Fortinet 确认存在严重漏洞

2025 年 1 月 14 日，Fortinet 披露了 CVE-2024-55591 的详细信息，这是一个影响 FortiOS 和 FortiProxy 的严重身份验证绕过漏洞。该漏洞的 CVSS 评分为 9.6，攻击者可以利用 Node.js WebSocket 模块获得超级管理员权限。

受影响的版本

• FortiOS ：7.0.0 至 7.0.16（7.0.17 及以上版本已修补）
• FortiProxy ：7.0.0 至 7.0.19 和 7.2.0 至 7.2.12（分别在 7.0.20 和 7.2.13 中修补）

Fortinet 建议客户立即应用更新并监控可疑活动。敦促组织限制管理界面的暴露并仅将访问权限限制为受信任的用户。

CISA 行动：推动缓解措施

美国网络安全和基础设施安全局 (CISA) 已将 CVE-2024-55591 添加到其已知利用漏洞 (KEV) 目录中。联邦机构必须在 2025 年 1 月 21 日之前解决此漏洞。

缓解建议

使用 Fortinet 产品的组织应采取以下步骤来降低风险：

1. 更新固件– 按照 Fortinet 的建议应用 FortiOS 和 FortiProxy 的最新补丁。
2. 限制管理接口访问– 阻止公众访问管理接口并使用 VPN 进行远程管理。
3. 监控日志——查找表明存在危害的异常登录或配置更改。
4. 启用 MFA – 对所有管理帐户强制实施多因素身份验证。

机会性攻击凸显警惕的必要性

此次攻击活动的范围以及受害者资料的缺乏表明，攻击是投机取巧，而非刻意选择。自动登录/注销活动和多样化的受害者群体强调，无论组织规模大小和部门，都需要采取强有力的安全措施。

随着零日攻击变得越来越复杂，确保及时修补、限制暴露和保持网络警惕对于防御不断演变的威胁仍然至关重要。