Fortinet發布警告：黑客利用新零日漏洞劫持防火墻

Fortinet近日發布警告，稱威脅攻擊者正在利用FortiOS和FortiProxy中的一個新零日漏洞（CVE-2025-24472，CVSS評分為8.1）來劫持Fortinet防火墻。該漏洞是一個身份驗證繞過問題，遠程攻擊者可以通過構造惡意CSF代理請求獲取超級管理員權限。

漏洞詳情與受影響的版本

該漏洞影響FortiOS 7.0.0到7.0.16版本，以及FortiProxy 7.0.0到7.0.19和7.2.0到7.2.12版本。Fortinet已在FortiOS 7.0.17及以上版本和FortiProxy 7.0.20/7.2.13及以上版本中修復了該漏洞。

Fortinet將該漏洞添加到1月披露的CVE-2024-55591漏洞的咨詢中。CVE-2024-55591同樣是一個身份驗證繞過漏洞，影響FortiOS 7.0.0至7.0.16版本和FortiProxy 7.0.0至7.0.19及7.2.0至7.2.12版本。攻擊者可以通過構造針對Node.js websocket模塊的請求來獲取超級管理員權限。

Fortinet在公告中表示：“鑒于報告顯示該漏洞已被廣泛利用，建議用戶盡快采取措施。”

攻擊者的利用方式與臨時緩解措施

威脅攻擊者利用這些漏洞創建非法管理員或本地用戶，修改防火墻策略，并通過SSL VPN訪問內部網絡。Fortinet建議用戶暫時禁用HTTP/HTTPS管理界面，或通過本地策略限制可訪問的IP地址。

Arctic Wolf的研究人員最近觀察到針對Fortinet FortiGate防火墻的攻擊，涉及未經授權的登錄、賬戶創建和配置更改。該公司推測，攻擊者很可能利用了目標系統中的零日漏洞。

Arctic Wolf觀察到的攻擊活動

Arctic Wolf表示，此次攻擊活動可分為四個階段：

• 漏洞掃描（2024年11月16日至2024年11月23日）
• 偵察（2024年11月22日至2024年11月27日）
• SSL VPN配置（2024年12月4日至2024年12月7日）
• 橫向移動（2024年12月16日至2024年12月27日）

Arctic Wolf在2024年12月12日向Fortinet報告了這一活動，FortiGuard Labs于2024年12月17日確認并開始調查。

Fortinet提醒用戶，鑒于該漏洞已被廣泛利用，建議盡快更新到最新版本，并采取必要的防御措施，以保護其網絡安全。