今年1月中旬資安業者Fortinet發布資安公告FG-IR-24-535,指出部分版本的防火牆作業系統FortiOS、上網安全閘道FortiProxy存在漏洞CVE-2024-55591,且有實際攻擊行動出現。外界根據Fortinet透露的入侵指標(IoC),認為攻擊行動就是資安業者Arctic Wolf揭露的Console Chaos。如今Fortinet再度更新公告的內容,引起外界關注。
Fortinet指出,除了先前揭露的CVE-2024-55591,還有另一個漏洞CVE-2025-24472也被用於攻擊行動,此為身分驗證繞過漏洞,影響執行7.0.0至7.0.16版FortiOS作業系統的防火牆,以及7.0.0至7.0.19版、7.2.0至7.2.12版網頁安全閘道FortiProxy,CVSS風險評為8.1。攻擊者可發出特製的CSF(Fortinet Security Fabric)代理伺服器請求,遠端利用這項漏洞,而有機會得到超級管理員權限。此漏洞之所以得以揭露,Fortinet也註明是源自另一家資安業者watchTowr的通報。
對於這項漏洞被用於攻擊的情況,根據Fortinet公布的入侵指標(IoC)資訊,攻擊者很有可能會產生隨機使用者名稱的管理員帳號、本機使用者帳號,並將本機帳號加入SSL VPN群組,從而將目標設備的SSL VPN服務做為存取內部網路環境的隧道。此外,攻擊者也可能會竄改防火牆政策、IP位址等設定,來避免攻擊行動敗露。
由於這項編號為FG-IR-24-535的公告Fortinet先前已發布,時隔一個月後的現在,卻突然在同一份公告加入新的高風險弱點,這樣的情況並不尋常。對此,我們也進一步詢問Fortinet,他們表示,CVE-2025-24472已於1月發布公告時就已經修補,如果用戶當時套用修補CVE-2024-55591漏洞的更新軟體,現在就能夠防範CVE-2025-24472帶來的資安風險。
但為何會一個月後才公布這項漏洞?Fortinet表示,當時他們並未察覺CVE-2025-24472遭到利用的跡象。
熱門新聞
2025-02-08
2025-02-12
2025-02-11
2025-02-13
2025-02-10
2025-02-11
