免责声明: 本文内容仅供信息参考,不构成财务或法律建议。
近期披露的Fortinet设备漏洞再次凸显了网络安全威胁形势的不断演变。该漏洞是一个已被积极利用的认证绕过零日漏洞,影响Fortinet安全产品组合中的关键产品FortiOS和FortiProxy。
什么是CVE-2024-55591?
CVE-2024-55591是一个存在于FortiOS和FortiProxy产品中的漏洞,这两款产品广泛应用于企业环境的网络安全和安全Web网关解决方案。
该漏洞允许未经身份验证的远程攻击者利用Node.js WebSocket模块中的弱点获取超级管理员权限。攻击者随后可以发送精心构造的请求来绕过身份验证,从而完全控制受影响的系统。
受影响的产品和版本
该漏洞影响以下版本:
- FortiOS 7.0: 版本7.0.0至7.0.16
- FortiProxy 7.0: 版本7.0.0至7.0.19
- FortiProxy 7.2: 版本7.2.0至7.2.12
Fortinet已为这些产品发布了补丁,建议用户升级到以下版本:
- FortiOS 7.0.17 或更高版本
- FortiProxy 7.0.20 或更高版本
- FortiProxy 7.2.13 或更高版本
漏洞利用原理
安全研究人员观察到有活跃的漏洞利用活动,其中一些自2024年11月以来一直在持续。其中一个代号为“ConsoleChaos”的利用活动专门针对暴露了管理接口的FortiGate设备。
攻击者利用该漏洞的步骤如下:
- 通过jsconsole获取访问权限: 攻击者利用jsconsole会话机制发起请求进行身份验证。
- 提升权限: 获取超级管理员权限,从而无限制地访问系统设置。
- 重新配置系统: 修改SSL VPN配置,并窃取域凭据,以便在受影响网络内进行横向移动。
- 持久化访问: 安装后门以确保长期访问。
CVE-2024-55591的影响
此漏洞的后果非常严重:
- 数据泄露: 凭借超级管理员权限,攻击者可以访问敏感信息,包括域凭据和网络配置。
- 服务中断: 攻击者可以禁用关键的业务安全功能,使系统面临进一步的攻击。
应采取的措施
- 立即修补: 将受影响的系统更新至Fortinet提供的修补版本。
- 限制访问: 如果无法立即修补,请禁用HTTP/HTTPS管理接口,或将这些接口的访问权限限制在可信IP地址范围内。
- 监控入侵指标(IoCs): 寻找异常活动,例如意外的配置更改或可疑的登录尝试,这些可能表明存在漏洞利用尝试。
- 进行安全审计: 评估您的整体安全状况,确保最小化暴露的接口和服务。
结论
此事件应为各类组织敲响警钟,促使他们将网络安全置于优先地位,并投资于强大的安全措施以保护其关键资产。请保持警惕,确保安全! CSD0tFqvECLokhw9aBeRqoVIE9pZAK4B8dIGNBqVUmQkP3uJQ7w8zt920aG5Ck/M3Gzl4Tu5XdQ7n1b7Pt+9kuW/JRktvth2SIlC5zuWI7078XHqpOIDY60ht+BFFQ2aFnTYfgM/8Txs4M8hszi96sJI+H+6Ca3oOya2CQicdewg32j5xSQib5mD41Hn4D0O
