Fortinet 警告具有暴露介面的防火牆的零日漏洞利用

網路安全公司 Fortinet 已對針對具有暴露管理介面的 FortiGate 防火牆設備的活躍零日漏洞活動發出警報。這些由未知威脅行為者發起的攻擊已經擾亂了全球組織，並凸顯了保護暴露的基礎設施的至關重要性。

活動細節：攻擊是如何展開的

該惡意活動始於 2024 年 11 月中旬，利用尚未確定的初始存取向量來破壞防火牆管理介面。 Arctic Wolf 的網路安全研究人員認為，考慮到該漏洞的快速傳播和受影響的韌體版本，攻擊者利用了零日漏洞。運行 7.0.14 和 7.0.16 之間韌體版本的裝置是專門針對的。

攻擊者遵循精心設計的四階段策略：

1. 偵察和掃描– 使用自動化工具和異常 IP 識別易受攻擊的設備。
2. 配置操作– 變更輸出設定以協助收集情報。
3. 權限升級– 建立超級管理員帳號並修改現有使用者帳號。
4. 漏洞利用和憑證收集－建立 SSL VPN 隧道並使用 DCSync 技術提取憑證進行橫向移動。

攻擊者使用jsconsole介面和來自虛擬專用伺服器 (VPS) 託管提供者的 VPN 隧道是一致的妥協指標。

Fortinet 確認有嚴重漏洞

2025 年 1 月 14 日，Fortinet 披露了 CVE-2024-55591 的詳細信息，這是一個影響 FortiOS 和 FortiProxy 的嚴重身份驗證繞過漏洞。此漏洞的 CVSS 評分為 9.6，使攻擊者能夠透過利用 Node.js WebSocket 模組獲得超級管理員權限。

受影響的版本

• FortiOS ：7.0.0 至 7.0.16（在 7.0.17 及更高版本中修補）
• FortiProxy ：7.0.0 至 7.0.19 和 7.2.0 至 7.2.12（分別在 7.0.20 和 7.2.13 中修補）

Fortinet 建議客戶立即套用更新並監控可疑活動。敦促組織限制管理介面的暴露並僅限制對受信任使用者的存取。

CISA 行動：推動緩解

美國網路安全與基礎設施安全局 (CISA) 已將 CVE-2024-55591 新增至其已知可利用漏洞 (KEV) 目錄中。聯邦機構必須在 2025 年 1 月 21 日之前解決此漏洞。

緩解建議

使用 Fortinet 產品的組織應採取以下步驟來降低風險：

1. 更新韌體– 應用 Fortinet 公告中指定的 FortiOS 和 FortiProxy 的最新補丁。
2. 限制管理介面存取– 阻止對管理介面的公共存取並使用 VPN 進行遠端管理。
3. 監控日誌– 尋找表示存在威脅的異常登入或設定變更。
4. 啟用 MFA – 對所有管理帳戶實施多重身份驗證。

機會主義目標凸顯需要保持警惕

活動的範圍和缺乏具體的受害者資料表明，這是機會主義的目標，而不是故意選擇。自動登入/登出活動和多樣化的受害者學強化了各種規模和部門的組織對強有力的安全措施的需求。

隨著零時差攻擊變得越來越複雜，確保及時修補、限制暴露和保持網路警覺對於防禦不斷變化的威脅仍然至關重要。