据报道，一名威胁行为者在一个知名的暗网论坛上公开叫卖针对 Fortinet 的 FortiGate 防火墙的零日漏洞利用程序。

该漏洞利用程序声称能够实现无需身份验证的远程代码执行（RCE），并能全面访问 FortiOS 的配置，使攻击者无需凭据即可控制存在漏洞的设备。

这一令人担忧的事态发展引发了人们对 Fortinet 防火墙安全性的严重关切，Fortinet 防火墙被全球众多企业和政府机构广泛使用。

ThreatMon 发现该论坛帖子描述该漏洞利用程序功能强大，包括能够访问从受攻击设备中提取的敏感配置文件。据称，这些文件包含：

1.本地用户凭据：存储在.local_users.json 文件中的加密密码。

2.管理员账户详情：记录在.admin_accounts.json 文件中的权限和信任关系。

3.双因素身份验证（2FA）状态：有关FortiToken配置的信息。

4.防火墙策略和网络配置：完整的规则集、NAT映射、内部 IP 资产和地址组。

此类数据可能会让攻击者绕过安全措施，渗透网络，并有可能发动进一步的攻击。该漏洞利用程序似乎针对的是存在身份验证绕过漏洞的 FortiOS 版本，而身份验证绕过一直是 Fortinet 公司产品中反复出现的问题。

Fortinet 漏洞的历史背景

近年来，Fortinet 的产品面临着多个零日漏洞问题。例如，今年早些时候，一个新发现的黑客组织 Belsen Group 泄露了超过 1.5 万个FortiGate 防火墙的配置文件。

此次数据泄露事件与 2022 年 10 月披露的 CVE-2022-40684 漏洞有关，这是一个身份验证绕过漏洞。尽管该漏洞在两年前就已被利用，但由于防火墙配置相对固定，泄露的数据仍然具有利用价值。

最近，Fortinet 披露了另一个严重漏洞（CVE-2024-55591），攻击者可通过精心构造的请求获取超级管理员权限。

这一漏洞影响了 FortiOS  7.0.0 至 7.0.16 版本以及 Fortinet 代理（FortiProxy）7.0.0 至 7.0.19 版本和 7.2.0 至 7.2.12 版本。这些事件凸显了针对 Fortinet 产品的令人不安的漏洞利用模式。

威胁行为者公开叫卖的这一零日漏洞利用程序给依赖 Fortinet 防火墙的组织带来了严重风险：

1.未经授权的访问：攻击者可能获得设备的管理控制权，修改配置并提取敏感数据。

2.网络被攻陷：被利用的防火墙可能成为攻击者在网络中横向移动的入口。

3.数据泄露：泄露的凭据和配置文件可能导致机密信息被暴露。

4.业务中断：被更改的防火墙策略可能会扰乱正常的网络运行，或为未来的攻击留下漏洞。

据报道，超过 30 万个 Fortinet 防火墙可能面临类似的远程代码执行漏洞的风险，潜在的破坏规模巨大。

Fortinet 一直敦促用户及时应用补丁，以减轻产品漏洞带来的风险。该公司还发布了公告，详细说明了入侵指标（IOCs），并推荐了安全措施，例如禁用 HTTP/HTTPS 管理接口或通过本地策略限制访问。

然而，补丁的应用仍然面临挑战，在过去的数据泄露事件中暴露的许多设备，数月甚至数年后仍未打补丁。

随着网络犯罪分子继续利用 Fortinet 防火墙等广泛使用的安全产品中的漏洞，各组织必须优先采取主动措施：

1.定期将固件更新到最新版本。

2.监控网络流量是否存在异常活动。

3.对管理接口实施严格的访问控制。

4.定期对防火墙配置进行审核。

这一最新的零日漏洞利用事件凸显了网络威胁的日益复杂，以及所有行业都迫切需要采取强有力的网络安全措施。