免责声明: 本文仅供信息参考,不应视为财务或法律建议。
近期披露的Fortinet设备漏洞再次凸显了网络安全威胁形势的不断演变。该漏洞已被积极利用,是一个影响Fortinet安全产品组合中关键组件——FortiOS和FortiProxy——的认证绕过零日漏洞。
什么是CVE-2024-55591?
CVE-2024-55591 是存在于 FortiOS 和 FortiProxy 产品中的一个漏洞。这些产品在企业环境中广泛用于网络安全和安全Web网关解决方案。
该漏洞允许未经身份验证的远程攻击者利用 Node.js WebSocket 模块中的弱点获取超级管理员权限。攻击者通过发送特制请求绕过身份验证,从而完全控制受影响的系统。
受影响的产品和版本
该漏洞影响以下版本:
- FortiOS 7.0: 版本 7.0.0 至 7.0.16
- FortiProxy 7.0: 版本 7.0.0 至 7.0.19
- FortiProxy 7.2: 版本 7.2.0 至 7.2.12
Fortinet 已为这些产品发布了补丁,建议用户升级到以下版本:
- FortiOS 7.0.17 或更高版本
- FortiProxy 7.0.20 或更高版本
- FortiProxy 7.2.13 或更高版本
漏洞利用原理
安全研究人员观察到活跃的漏洞利用活动,其中一些自2024年11月以来一直在持续。其中一个代号为“ConsoleChaos”的攻击活动专门针对暴露了管理接口的FortiGate设备。
攻击者利用该漏洞的步骤如下:
- 通过 jsconsole 获取访问权限:攻击者利用 jsconsole 会话机制发送请求进行身份验证。
- 提升权限:获取超级管理员权限,从而不受限制地访问系统设置。
- 重新配置系统:修改 SSL VPN 配置,并导出域凭据,以便在受影响网络内进行横向移动。
- 持久化:安装后门以确保持续访问。
CVE-2024-55591 的影响
该漏洞的后果十分严重:
- 数据泄露:凭借超级管理员权限,攻击者可以访问敏感信息,包括域凭据和网络配置。
- 服务中断:攻击者可以禁用关键的业务安全功能,使系统暴露于进一步的攻击之下。
你应该做什么?
- 立即修补:将受影响系统更新至 Fortinet 提供的补丁版本。
- 限制访问:如果无法立即修补,请禁用 HTTP/HTTPS 管理接口,或将这些接口的访问权限限制在可信 IP 地址范围内。
- 监控入侵指标 (IoCs):留意异常活动,例如意外的配置更改或可疑的登录尝试,这些都可能表明存在漏洞利用尝试。
- 进行安全审计:评估整体安全状况,确保尽可能减少暴露的接口和服务。
结论
此事件应作为对各类组织的重要提醒,促使它们将网络安全置于优先地位,并投资于强大的安全措施以保护其关键资产。 CSD0tFqvECLokhw9aBeRqoVIE9pZAK4B8dIGNBqVUmQkP3uJQ7w8zt920aG5Ck/M3Gzl4Tu5XdQ7n1b7Pt+9kuW/JRktvth2SIlC5zuWI7078XHqpOIDY60ht+BFFQ2aFnTYfgM/8Txs4M8hszi96sJI+H+6Ca3oOya2CQicdewg32j5xSQib5mD41Hn4D0O
