据报道,一名威胁行为者在一个知名的暗网论坛上公开叫卖针对 Fortinet 的 FortiGate 防火墙的零日漏洞利用程序。
该漏洞利用程序声称能够实现无需身份验证的远程代码执行(RCE),并能全面访问 FortiOS 的配置,使攻击者无需凭据即可控制存在漏洞的设备。
这一令人担忧的事态发展引发了人们对 Fortinet 防火墙安全性的严重关切,Fortinet 防火墙被全球众多企业和政府机构广泛使用。
ThreatMon 发现该论坛帖子描述该漏洞利用程序功能强大,包括能够访问从受攻击设备中提取的敏感配置文件。据称,这些文件包含:
1.本地用户凭据:存储在.local_users.json 文件中的加密密码。
2.管理员账户详情:记录在.admin_accounts.json 文件中的权限和信任关系。
3.双因素身份验证(2FA)状态:有关FortiToken配置的信息。
4.防火墙策略和网络配置:完整的规则集、NAT映射、内部 IP 资产和地址组。
此类数据可能会让攻击者绕过安全措施,渗透网络,并有可能发动进一步的攻击。该漏洞利用程序似乎针对的是存在身份验证绕过漏洞的 FortiOS 版本,而身份验证绕过一直是 Fortinet 公司产品中反复出现的问题。
Fortinet 漏洞的历史背景
近年来,Fortinet 的产品面临着多个零日漏洞问题。例如,今年早些时候,一个新发现的黑客组织 Belsen Group 泄露了超过 1.5 万个FortiGate 防火墙的配置文件。
此次数据泄露事件与 2022 年 10 月披露的 CVE-2022-40684 漏洞有关,这是一个身份验证绕过漏洞。尽管该漏洞在两年前就已被利用,但由于防火墙配置相对固定,泄露的数据仍然具有利用价值。
最近,Fortinet 披露了另一个严重漏洞(CVE-2024-55591),攻击者可通过精心构造的请求获取超级管理员权限。
这一漏洞影响了 FortiOS 7.0.0 至 7.0.16 版本以及 Fortinet 代理(FortiProxy)7.0.0 至 7.0.19 版本和 7.2.0 至 7.2.12 版本。这些事件凸显了针对 Fortinet 产品的令人不安的漏洞利用模式。
威胁行为者公开叫卖的这一零日漏洞利用程序给依赖 Fortinet 防火墙的组织带来了严重风险:
1.未经授权的访问:攻击者可能获得设备的管理控制权,修改配置并提取敏感数据。
2.网络被攻陷:被利用的防火墙可能成为攻击者在网络中横向移动的入口。
3.数据泄露:泄露的凭据和配置文件可能导致机密信息被暴露。
4.业务中断:被更改的防火墙策略可能会扰乱正常的网络运行,或为未来的攻击留下漏洞。
据报道,超过 30 万个 Fortinet 防火墙可能面临类似的远程代码执行漏洞的风险,潜在的破坏规模巨大。
Fortinet 一直敦促用户及时应用补丁,以减轻产品漏洞带来的风险。该公司还发布了公告,详细说明了入侵指标(IOCs),并推荐了安全措施,例如禁用 HTTP/HTTPS 管理接口或通过本地策略限制访问。
然而,补丁的应用仍然面临挑战,在过去的数据泄露事件中暴露的许多设备,数月甚至数年后仍未打补丁。
随着网络犯罪分子继续利用 Fortinet 防火墙等广泛使用的安全产品中的漏洞,各组织必须优先采取主动措施:
1.定期将固件更新到最新版本。
2.监控网络流量是否存在异常活动。
3.对管理接口实施严格的访问控制。
4.定期对防火墙配置进行审核。
这一最新的零日漏洞利用事件凸显了网络威胁的日益复杂,以及所有行业都迫切需要采取强有力的网络安全措施。
发表评论
您还未登录,请先登录。
登录