CVE-2025–24472:Fortinet FortiOS 与 FortiProxy 认证机制中的零日安全风险
2025年2月12日,在 Fortinet FortiOS 和 FortiProxy 中发现了一个零日漏洞(CVE-2025–24472)。该漏洞允许攻击者绕过身份验证,在无需有效凭证的情况下获取管理员访问权限。该漏洞已在真实攻击中被积极利用。Fortinet 发布了紧急补丁,并敦促用户立即采取行动。本文探讨了该漏洞、真实攻击案例,以及如何使用 Criminal IP Asset Search 识别暴露的 Fortinet 设备。
CVE-2025–24472 漏洞概述
CVE-2025–24472 漏洞是 Fortinet 安全产品 FortiOS 和 FortiProxy 中的一个严重安全缺陷。它允许攻击者通过向服务器发送特制请求来绕过身份验证并获得管理员访问权限,对企业和组织的网络安全构成重大威胁。
受 CVE-2025–24472 影响的 Fortinet 产品包括:
- FortiOS:版本 7.0.0 至 7.0.16
- FortiProxy:版本 7.0.0 至 7.0.19,7.2.0 至 7.2.12
(详细版本信息请查阅 Fortinet 官方安全公告。)
CVE-2025–24472:真实攻击案例
Fortinet 报告称,CVE-2025–24472 已被网络攻击团伙利用,特别是针对政府机构、金融公司和大型企业。
根据 GBHackers 的报道,利用此漏洞的攻击按以下模式进行:
- 攻击者扫描暴露的 FortiOS 和 FortiProxy 管理界面,以识别易受攻击的系统。
- 通过利用该漏洞,攻击者无需身份验证即可获得管理权限。
- 攻击者安装后门或窃取受保护数据,以进一步在网络中横向扩展。
通过 Criminal IP Asset Search 检测 Fortinet 设备
识别互联网上暴露的 FortiOS 和 FortiProxy 设备是降低安全威胁的关键步骤。Criminal IP Asset Search 是一个强大的安全工具,允许用户高效搜索暴露的设备。通过在此搜索引擎中使用特定关键词或过滤器,用户可以快速检测到易受互联网暴露风险的设备。
Criminal IP 搜索查询:
title: Web Filter Block Override
使用查询 title: Web Filter Block Override 的 Criminal IP Asset Search 发现,截至 2025 年 2 月 19 日,共有 2,479,299 台 FortiOS 设备暴露在互联网上。
对搜索结果中某个 IP 地址的详细检查显示,该地址存在 4 个开放端口和 13 个漏洞,其中包括一个已公开的 GitHub 概念验证(PoC),需要立即采取措施。此外,还发现了一个 Exploit DB,表明该 IP 地址存在高度风险。
Criminal IP 搜索查询:
title: FortiProxy
针对 title: FortiProxy 的 Criminal IP Asset Search 查询发现,截至 2025 年 2 月 19 日,有 911 台 FortiProxy 设备在线暴露。
尽管并非所有这些产品都受 CVE-2025–24472 漏洞影响,但互联网上的系统攻击面更大,风险也更高。尤其是当管理界面暴露时,攻击者可以轻松利用身份验证绕过漏洞。因此,组织必须限制网络访问。Criminal IP Asset Search 允许企业快速检查 Fortinet 设备是否暴露在互联网上,帮助他们评估攻击风险并实施有效的预防措施。
结论
CVE-2025–24472 对 Fortinet 用户构成重大安全威胁。应用补丁和加强网络安全措施至关重要。Criminal IP 通过跟踪最新威胁并提供主动支持,帮助客户保持安全。与此相关,您可以参考《超过 1000 台设备受 Fortinet RCE 漏洞(CVE-2024–21762)影响》一文。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEt8eQ3UQZrjlAsVPS+n4cfOAi7oIEnfBHIvcM13WyZbPPMtEVmu7DIKtFvJ6lfeAwGo9jIyuZS4ppq+PMuO0JKfuMCEdzkeTonQxpA3PE/PcnDFMhptZE96wF0RBB45SHDJ28ETNVlmi+GswHyWgDy
