飞塔(Fortinet)公司发出警告,称存在利用现已修复的飞塔操作系统(FortiOS)和飞塔代理(FortiProxy)中的零日漏洞来劫持飞塔防火墙的攻击行为。飞塔公司警告说,威胁行为者正在利用一个新的零日漏洞(编号为 CVE-2025-24472,通用漏洞评分系统(CVSS)评分为 8.1),在飞塔操作系统和飞塔代理中劫持飞塔防火墙。该漏洞是一个身份验证绕过问题,远程攻击者可以通过构造恶意的 CSF 代理请求来获取超级管理员权限。公告中写道:“存在一个‘使用替代路径或通道绕过身份验证’的漏洞(CWE-288),影响飞塔操作系统 7.0.0 至 7.0.16 版本以及飞塔代理 7.2.0 至 7.2.12 版本、7.0.0 至 7.0.19 版本,这可能会使远程攻击者通过精心构造的 CSF 代理请求获取超级管理员权限。”该漏洞影响飞塔操作系统 7.0.0 至 7.0.16 版本、飞塔代理 7.0.0 至 7.0.19 版本以及飞塔代理 7.2.0 至 7.2.12 版本。飞塔公司已在飞塔操作系统 7.0.17 及更高版本以及飞塔代理 7.0.20/7.2.13 及更高版本中修复了此漏洞。飞塔公司将这个漏洞添加到了一份与 2024 年 1 月披露的 CVE-2024-55591 漏洞相关的公告中。CVE-2024-55591 漏洞是一个 “使用替代路径或通道绕过身份验证” 的漏洞(CWE-288),影响飞塔操作系统 7.0.0 至 7.0.16 版本以及飞塔代理 7.0.0 至 7.0.19 版本和 7.2.0 至 7.2.12 版本。该漏洞可能使远程攻击者通过对 Node.js WebSocket 模块的精心构造请求来获取超级管理员权限。公告中写道:“存在一个‘使用替代路径或通道绕过身份验证’的漏洞(CWE-288),影响飞塔操作系统和飞塔代理,这可能会使远程攻击者通过对 Node.js WebSocket 模块的精心构造请求或通过精心构造的 CSF 代理请求获取超级管理员权限。请注意,报告显示此漏洞正在被实际利用。”威胁行为者利用这些漏洞创建恶意管理员或本地用户,修改防火墙策略,并访问 SSL 虚拟专用网络(VPN)以获取对内部网络的访问权限。飞塔公司还为此问题提供了临时缓解措施,该公司建议禁用 HTTP/HTTPS 管理界面,或者通过本地入站策略限制能够访问该界面的 IP 地址。北极狼(Arctic Wolf)公司的研究人员最近观察到了针对飞塔 FortiGate 防火墙的攻击行为,涉及未经授权的登录、账户创建和配置更改。北极狼公司指出,当前的攻击活动可分为四个不同阶段:1.漏洞扫描(2024 年 11 月 16 日至 2024 年 11 月 23 日)2.侦察(2024 年 11 月 22 日至 2024 年 11 月 27 日)3.SSL VPN 配置(2024 年 12 月 4 日至 2024 年 12 月 7 日)4.横向移动(2024 年 12 月 16 日至 2024 年 12 月 27 日)该公司推测,威胁行为者很可能利用了目标系统中的一个零日漏洞。北极狼公司表示:“在 12 月初,北极狼实验室开始观察到一场涉及飞塔 FortiGate 防火墙设备上可疑活动的攻击活动。通过获取受影响防火墙的管理界面访问权限,威胁行为者能够更改防火墙配置。在被攻陷的环境中,观察到威胁行为者使用 DCSync 提取凭据。虽然此次攻击活动中使用的初始访问向量尚未确定,但北极狼实验室高度确信,鉴于受影响组织的时间线紧凑以及受影响的固件版本情况,很可能存在对零日漏洞的大规模利用。”北极狼实验室于 2024 年 12 月 12 日向飞塔公司报告了此次攻击活动,飞塔卫士实验室(FortiGuard Labs)于 2024 年 12 月 17 日确认已知晓并展开调查。
