Shadowserver 基金会最近发布的一份报告显示,尽管数月前就已发布了修补程序,但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞,Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击,在有漏洞的设备上执行任意代码。Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址,这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多(约14,000台),其次是日本(5,100台)和印度(4,800台)。我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113(格式字符串预验证RCE)的攻击。该漏洞已知在野外被利用。2024-10-12 扫描发现 87,390 个 IP。顶部:美国(14K)、日本(5.1K)、印度(4.8K)https://t.co/KRov0cOJev pic.twitter.com/ddipRXlBTL– 影子服务器基金会 (@Shadowserver) 2024 年 10 月 13 日该漏洞影响 Fortinet 的多种产品,包括FortiOS 7.0 及更新版本FortiPAM 1.0 及更高版本FortiProxy 7.0 及以上版本FortiWeb 7.4Fortinet 于 2024 年 2 月首次披露并修补了该漏洞,敦促管理员更新系统以避免被利用。该公司建议,作为一项重要的缓解措施,从所有接口移除对易受攻击的 fgfmd 守护进程的访问,但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略,限制特定 IP 地址的 FGFM 连接。但他们强调,这只是一种缓解措施,而不是全面的解决方案,因为漏洞仍可能从允许的 IP 被利用。尽管有这些警告,但仍有大量设备未打补丁,给全球组织带来持续风险。上周,网络安全和基础设施安全局(CISA)发出警报,确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模,因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险,特别是由于利用该漏洞只需极少的努力。
