Fortinet修補遭駭客利用數月的FortiOS零時差漏洞

Fortinet近日修補了一個影響FortiOS防火牆和FortiProxy網頁閘道器的驗證繞過漏洞 CVE-2024-55591。該漏洞已被攻擊者作為零時差漏洞利用，成功入侵暴露在公開網路的FortiGate防火牆。

漏洞細節

CVE-2024-55591是一個嚴重的驗證繞過漏洞，攻擊者可以通過向Node.js websocket模組發送特製請求來獲取超級管理員權限，進而執行未經授權的程式碼或指令。受影響版本包括FortiOS 7.0.0至7.0.16，以及FortiProxy 7.0.0至7.0.19和7.2.0至7.2.12版本。該漏洞無需使用者互動即可被利用。

安全研究機構Arctic Wolf表示，自2024年11月中旬開始觀察到一波攻擊行動，涉及未經授權的防火牆管理介面管理員登入、建立新帳戶、透過這些帳戶進行SSL VPN認證，以及各種其他配置更改。

攻擊行動詳細分析

根據Arctic Wolf的研究團隊觀察，此次攻擊行動展現出高度組織性，分為四個精心策劃的階段。

在初始入侵階段（2024年11月16日至23日），攻擊者首先進行大規模的自動化漏洞掃描，尋找具有公開管理介面的FortiGate設備。利用零時差漏洞成功後，攻擊者立即執行多次管理員登入嘗試，確保持續訪問權限。研究人員在此階段觀察到大量來自可疑IP地址的未授權管理員登入事件。

進入內部偵查階段（2024年11月22日至27日），成功取得訪問權限後，攻擊者開始系統性地收集目標環境信息。他們進行了一系列配置更改，雖然這些更改的具體目的尚未確定，但研究人員推測這可能是為了建立持久性訪問機制或為後續攻擊階段做準備。

在權限擴張階段（2024年12月4日至7日），攻擊者展現出進階的技術能力。他們不僅創建新的超級管理員和本地用戶帳戶，還成功劫持並利用現有帳戶。攻擊者隨後將這些帳戶添加到現有的SSL VPN訪問群組中，並建立新的SSL VPN入口，最終與受影響設備建立SSL VPN隧道連接。

在最後觀察到的橫向移動準備階段（2024年12月16日至27日），攻擊者將重點放在提取可用於橫向移動的憑證上，同時嘗試深入滲透目標網路，並建立額外的後門機制。Arctic Wolf的分析師強調，這些觀察到的活動可能只是整體攻擊行動的一小部分，因為攻擊者在能夠完成最終目標之前就被發現並移除。研究人員指出，這次攻擊顯示出明顯的機會主義特徵，主要針對具有連接網路可訪問管理介面的FortiGate設備，而非特定目標。

防護建議與官方回應

Fortinet已發布修補版本，建議企業升級至FortiOS 7.0.17或更高版本，FortiProxy 7.2.13或更高版本，或7.0.20或更高版本。如果無法立即更新設備，安全專家強調，管理介面絕不應暴露在公共網路上，而應限制僅受信任的內部用戶訪問。此外，企業應持續監控來自常見偽裝IP地址的jsconsole活動，並密切關注來自VPS主機IP地址的可疑流量，特別是超過1MB的WAN介面網頁管理流量以及來自VPS託管提供商的SSL VPN登入活動。

Arctic Wolf表示，該公司於2024年12月12日向Fortinet通報了這些攻擊活動，FortiGuard Labs PSIRT於12月17日回應稱「已知該活動並正在調查中」。Fortinet發言人在回應中表示，公司持續與客戶保持積極溝通，提供相關指導和解決方案，並與政府機構和產業威脅研究組織密切合作，以應對此次事件。他們呼籲客戶遵循諮詢中概述的指導方針，實施及時的修補措施，並持續監控網路中的異常活動。

本文轉載自helpnetsecurity。