CVE-2024-23113：87,000多台Fortinet設備仍面臨攻擊風險，用戶應盡速更新

上週美國網路安全和基礎設施安全局(CISA)將CVE-2024-23113新增至其已知被利用漏洞目錄(KEV)中。這個嚴重漏洞允許未經身份驗證的攻擊者在未修補的Fortinet FortiGate防火牆上執行遠程程式碼或命令。此舉證實該漏洞正被攻擊者在野利用。
 
Shadowserver基金會近日分享的資訊顯示，仍有87,000多台面向網路的Fortinet設備可能受此漏洞影響。

關於CVE-2024-23113

CVE-2024-23113是一個格式字串漏洞，影響FortiOS FGFM（FortiGate到FortiManager）防禦程序，可通過特製請求觸發。此漏洞由Fortinet產品安全團隊的Gwendal Guégniaud發現並報告，已於2024年2月初在FortiOS 7.4.3、7.2.7和7.0.14版本中修復。
 
當時Fortinet公告並確認了其他受影響產品，並提供一系列緩解措施，包含移除FGFM訪問。
 
Fortinet表示，移除FGFM訪問將阻止FortiManager發現FortiGate。但仍可從FortiGate進行連接。另外，僅允許來自特定IP的FGFM連接的本地策略將減少攻擊面，但無法防止從該IP利用漏洞。因此，這應被視為緩解措施，而非完整的解決方案。
 
起初，這個漏洞並未引起網路安全社群太多關注，但現在顯然沒有逃過威脅行為者的利用。目前關於攻擊的細節仍未公開，也不知道這個漏洞是被用於網路間諜活動還是勒索軟體傳播。
 
watchTowr Labs公開對CVE-2024-23113漏洞的分析，並分享了他們利用自製工具測試漏洞存在時遇到的反應。
 
研究人員測試中發現，Fortinet似乎在7.4系列中加入了某種驗證邏輯，意味著除非得到設備管理員的明確許可，外部人員無法連接或發送有效載荷。watchTowr Labs還檢查了7.0分支，發現情況更加有趣，未修補的案例允許使用自簽名憑證連接，而修補後的機器則需要由配置的CA簽名的證書。
 
watchTowr Labs進行了一些逆向工程，確定憑證必須由設備管理員明確配置，這將漏洞利用限制在管理FortiManager實例（已擁有設備的超級用戶權限）或高可用性的其他組件。
 
專家建議用戶盡速將受影響的設備升級到包含修復的版本。根據安全研究員Kevin Beaumont的說法，還應密切關注修復FGFM未披露漏洞的FortiManager漏洞修補。

本文轉載自helpnetsecurity。