歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Fortinet修補遭駭客利用數月的FortiOS零時差漏洞
2025 / 01 / 15
編輯部
Fortinet近日修補了一個影響FortiOS防火牆和FortiProxy網頁閘道器的驗證繞過漏洞 CVE-2024-55591。該漏洞已被攻擊者作為零時差漏洞利用,成功入侵暴露在公開網路的FortiGate防火牆。
漏洞細節
CVE-2024-55591是一個嚴重的驗證繞過漏洞,攻擊者可以通過向Node.js websocket模組發送特製請求來獲取超級管理員權限,進而執行未經授權的程式碼或指令。受影響版本包括FortiOS 7.0.0至7.0.16,以及FortiProxy 7.0.0至7.0.19和7.2.0至7.2.12版本。該漏洞無需使用者互動即可被利用。
安全研究機構Arctic Wolf表示,自2024年11月中旬開始觀察到一波攻擊行動,涉及未經授權的防火牆管理介面管理員登入、建立新帳戶、透過這些帳戶進行SSL VPN認證,以及各種其他配置更改。
攻擊行動詳細分析
根據Arctic Wolf的研究團隊觀察,此次攻擊行動展現出高度組織性,分為四個精心策劃的階段。
在
初始入侵階段(2024年11月16日至23日)
,攻擊者首先進行大規模的自動化漏洞掃描,尋找具有公開管理介面的FortiGate設備。利用零時差漏洞成功後,攻擊者立即執行多次管理員登入嘗試,確保持續訪問權限。研究人員在此階段觀察到大量來自可疑IP地址的未授權管理員登入事件。
進入
內部偵查階段(2024年11月22日至27日)
,成功取得訪問權限後,攻擊者開始系統性地收集目標環境信息。他們進行了一系列配置更改,雖然這些更改的具體目的尚未確定,但研究人員推測這可能是為了建立持久性訪問機制或為後續攻擊階段做準備。
在
權限擴張階段(2024年12月4日至7日)
,攻擊者展現出進階的技術能力。他們不僅創建新的超級管理員和本地用戶帳戶,還成功劫持並利用現有帳戶。攻擊者隨後將這些帳戶添加到現有的SSL VPN訪問群組中,並建立新的SSL VPN入口,最終與受影響設備建立SSL VPN隧道連接。
在最後觀察到的
橫向移動準備階段(2024年12月16日至27日)
,攻擊者將重點放在提取可用於橫向移動的憑證上,同時嘗試深入滲透目標網路,並建立額外的後門機制。Arctic Wolf的分析師強調,這些觀察到的活動可能只是整體攻擊行動的一小部分,因為攻擊者在能夠完成最終目標之前就被發現並移除。研究人員指出,這次攻擊顯示出明顯的機會主義特徵,主要針對具有連接網路可訪問管理介面的FortiGate設備,而非特定目標。
防護建議與官方回應
Fortinet已發布修補版本,建議企業升級至FortiOS 7.0.17或更高版本,FortiProxy 7.2.13或更高版本,或7.0.20或更高版本。
如果無法立即更新設備,安全專家強調,管理介面絕不應暴露在公共網路上,而應限制僅受信任的內部用戶訪問。
此外,企業應持續監控來自常見偽裝IP地址的jsconsole活動,並
密切關注來自VPS主機IP地址的可疑流量
,特別是超過1MB的WAN介面網頁管理流量以及來自VPS託管提供商的SSL VPN登入活動。
Arctic Wolf表示,該公司於2024年12月12日向Fortinet通報了這些攻擊活動,FortiGuard Labs PSIRT於12月17日回應稱「已知該活動並正在調查中」。Fortinet發言人在回應中表示,公司持續與客戶保持積極溝通,提供相關指導和解決方案,並與政府機構和產業威脅研究組織密切合作,以應對此次事件。他們呼籲客戶遵循諮詢中概述的指導方針,實施及時的修補措施,並持續監控網路中的異常活動。
本文轉載自helpnetsecurity。
驗證繞過漏洞
零時差漏洞
橫向移動
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Cloudflare CDN漏洞恐洩露用戶位置資訊
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
美國制裁中國資安公司涉及「鹽颱風」駭客集團入侵事件
Cloudflare緩解史上最大規模5.6Tbps DDoS攻擊,台灣是攻擊熱區
Sophos : 新俄羅斯攻擊行動濫用 Microsoft Teams 、遠端管理工具竊取資料與勒索軟體攻擊
資安人科技網
文章推薦
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵
報告:每174次DNS解析就有一次是惡意!DNS防護成主動資安關鍵之一