近日,Fortinet发出警告,称攻击者正在利用FortiOS和FortiProxy中的另一个认证绕过零日漏洞(CVE-2025-24472),劫持Fortinet防火墙并入侵企业网络。该漏洞允许远程攻击者通过发送恶意构造的CSF代理请求,获取超级管理员权限。受影响的版本包括FortiOS 7.0.0至7.0.16、FortiProxy 7.0.0至7.0.19以及FortiProxy 7.2.0至7.2.12。
漏洞利用与攻击手法
Fortinet在上个月发布的安全公告中已提及另一类似漏洞(CVE-2024-55591),攻击者通过针对Node.js websocket模块的恶意请求进行利用。然而,此次的CVE-2025-24472漏洞攻击手法有所不同。攻击者利用这两个漏洞,在受影响的设备上生成随机管理员或本地用户,并将其添加到新的或现有的SSL VPN用户组中。此外,攻击者还修改防火墙策略及其他配置,并通过之前建立的恶意账户访问SSL VPN实例,以获取通往内部网络的“隧道”。
网络安全公司Arctic Wolf发布了一份报告,提供了与此次攻击相匹配的入侵指标(IOCs),并指出自11月中旬以来,暴露在互联网上的Fortinet FortiGate防火墙管理接口已遭到攻击。Arctic Wolf Labs表示:“此次攻击涉及通过防火墙管理接口的未经授权管理登录、创建新账户、通过这些账户进行SSL VPN认证以及其他各种配置更改。”
攻击的时间线
Arctic Wolf Labs还提供了CVE-2024-55591大规模利用攻击的时间线,分为四个独特阶段:
- 漏洞扫描(2024年11月16日至2024年11月23日)
- 侦察阶段(2024年11月22日至2024年11月27日)
- SSL VPN配置(2024年12月4日至2024年12月7日)
- 横向移动(2024年12月16日至2024年12月27日)
该公司补充称:“由于不同入侵之间在手法和基础设施上的细微差异,可能有多名个人或组织参与了此次攻击,但jsconsole的使用是贯穿始终的共同点。”
企业应对建议
Arctic Wolf Labs于12月12日向Fortinet通报了此次攻击,五天后收到Fortinet产品安全事件响应团队(PSIRT)的确认,称已了解相关活动并正在调查中。Fortinet建议无法立即部署安全更新的管理员,禁用HTTP/HTTPS管理接口或通过本地策略限制可访问的IP地址,作为临时缓解措施。
BleepingComputer已联系Fortinet发言人寻求评论,但截至发稿时尚未收到回复。企业应尽快采取措施,降低潜在风险。
参考来源:
Fortinet warns of new zero-day exploited to hijack firewalls
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
