Fortinet修复了多个严重漏洞，其中包含一个自2024年11月起就在野外被利用的零日漏洞。

周二，Fortinet发布了十多份新的安全公告，阐述了近期在其产品里发现的严重和高危漏洞，其中就有那个自2024年11月起已在野外被利用的零日漏洞。

这个零日漏洞被标记为CVE - 2024 - 55591，Fortinet称其是影响FortiOS和FortiProxy的严重漏洞。远程攻击者能够通过向Node.js websocket模块发送特制请求来获取超级管理员权限。

Fortinet表示，CVE - 2024 - 55591影响以下版本：
- FortiOS的7.0.0至7.0.16版本；
- FortiProxy的7.2.0至7.2.12版本；
- FortiProxy的7.0.0至7.0.19版本。

而修复补丁包含在以下版本中：
- FortiOS的7.0.17版本；
- FortiProxy的7.2.13版本；
- FortiProxy的7.0.20版本。

Fortinet已经确认该漏洞在野外被利用，并且在公告里提供了入侵指标（IoCs），以助力防御者检测攻击。

上周，网络安全公司Arctic Wolf发出警告，称观察到针对Fortinet FortiGate防火墙的攻击活动，这些防火墙的管理界面暴露在互联网上，这引发了关于潜在零日漏洞的新闻报道。

Arctic Wolf称：“这种攻击活动涉及对防火墙管理界面的未授权管理员登录、创建新账户、利用这些账户进行SSL VPN认证以及其他各种配置更改。”并且补充道：“虽然最初的攻击途径还没有完全确定，但零日漏洞的可能性极大。”

虽然Fortinet的公告未提及Arctic Wolf，但两家公司共有的入侵指标表明，CVE - 2024 - 55591正是Arctic Wolf在攻击中观察到的零日漏洞。Arctic Wolf在12月中旬向Fortinet通报了这些攻击，Fortinet表示已经知晓并且正在调查相关活动。

Arctic Wolf在2024年11月和12月追踪了这个攻击活动，先是观察到漏洞扫描，接着是侦察、建立SSL VPN访问以及在受感染系统上的横向移动。

Arctic Wolf报告称，攻击者只是对少数组织进行了机会性利用，不过攻击者的目标还不明确。

Fortinet在周二还修复了另一个严重漏洞CVE - 2023 - 37936，这是FortiSwitch中的一个硬编码加密密钥问题，可能让远程未认证攻击者通过恶意加密请求执行代码。

1月14日发布的13份公告涉及影响FortiManager、FortiAnalyzer、FortiClient、FortiOS、FortiRecorder、FortiProxy、FortiSASE、FortiVoice、FortiWeb和FortiSwitch等产品的高危漏洞。

这些安全漏洞可能被利用来实现账户删除后的持久性、任意文件写入、经过认证的代码和命令执行、暴力破解攻击、未经认证提取配置数据以及造成拒绝服务（DoS）状态。

Fortinet尚未将这些漏洞中的任何一个标记为已被利用，但指出其中一个漏洞是由WatchTowr披露的。

威胁行为者针对Fortinet产品漏洞发动攻击并不罕见，所以组织不应忽视最新一轮安全漏洞的修补或者缓解措施。

参考来源：https://www.securityweek.com/fortinet-confirms-new-zero-day-exploitation/