周二，Fortinet 发布了十几份新公告，描述了最近在该公司产品中发现的严重和高严重性漏洞，包括一个至少自 2024 年 11 月以来就被广泛利用的零日漏洞。 

该零日漏洞编号为CVE-2024-55591，Fortinet 将其描述为影响 FortiOS 和 FortiProxy 的严重漏洞，远程攻击者可利用该漏洞通过向 Node.js websocket 模块发送特制请求来获取超级管理员权限。

据 Fortinet 称，CVE-2024-55591 影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.2.0 至 7.2.12 以及 FortiProxy 7.0.0 至 7.0.19。补丁包含在 FortiOS 7.0.17、FortiProxy 7.2.13 和 FortiProxy 7.0.20 中。 

Fortinet 已确认存在野外攻击，其公告中包含入侵指标 (IoC)，以帮助防御者检测攻击。 

上周，网络安全公司 Arctic Wolf 警告称，其观察到一场针对 Fortinet FortiGate 防火墙的活动，该防火墙的管理界面暴露在互联网上，有关潜在零日漏洞的消息被曝光。

Arctic Wolf 表示：“此次攻击活动涉及在防火墙管理界面进行未经授权的管理登录、创建新账户、通过这些账户进行 SSL VPN 身份验证以及其他各种配置更改。虽然初始访问载体尚未得到最终确认，但零日漏洞的可能性很高。”

虽然 Fortinet 的公告中没有提到 Arctic Wolf，但两家公司共享的 IoC 表明 CVE-2024-55591 是 Arctic Wolf 在攻击中发现的零日漏洞。Arctic Wolf 在 12 月中旬向 Fortinet 通报了这些攻击，而 Fortinet 表示已经意识到并正在调查该活动。 

北极狼在 2024 年 11 月和 12 月跟踪了该活动，首先看到漏洞扫描，然后是侦察、建立 SSL VPN 访问以及在受感染系统上的横向移动。 

北极狼报告称，发现少数组织遭受了机会性攻击，但攻击者的目标仍然未知。 

Fortinet 周二解决的另一个严重漏洞是 CVE-2023-37936，这是 FortiSwitch 中的一个硬编码加密密钥问题，可能允许远程、未经身份验证的攻击者使用恶意加密请求执行代码。

1 月 14 日发布的13 个公告针对影响 FortiManager、FortiAnalyzer、FortiClient、FortiOS、FortiRecorder、FortiProxy、FortiSASE、FortiVoice、FortiWeb 和 FortiSwitch 等产品的高严重漏洞。 

这些安全漏洞可被利用来导致删除后的账户持久化、任意文件写入、经过身份验证的代码和命令执行、暴力攻击、未经身份验证提取配置数据以及导致 DoS 情况。

Fortinet 尚未标记任何已被利用的漏洞，但指出其中一个漏洞是由WatchTowr披露的。 

威胁行为者在攻击中针对 Fortinet 产品漏洞的情况并不少见，因此组织不要忽视对最新一轮安全漏洞的修补或缓解。 

来源：https://www.securityweek.com/chinese-hackers-exploited-fortinet-vpn-vulnerability-zero-day/

【安全圈】流量劫持、多人被抓：涉及电信运营商、IDC 代理等

【安全圈】美日韩称朝鲜黑客去年窃取了超过 6.59 亿美元加密货币

【安全圈】Windows 远程桌面网关漏洞导致系统遭受 DoS 攻击

【安全圈】黑客入侵西班牙电信网络，泄露 2.3 GB 在线数据

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！