CISA 本周将 CVE-2025-24472 添加到其已知漏洞利用目录中,并列举了针对身份验证绕过漏洞的勒索软件活动。
尚未修补该公司在 2 月份披露的关键身份验证绕过漏洞的 Fortinet 客户可能希望尽快解决该漏洞。
CVE-2025-24472 允许远程攻击者通过利用某些版本的 Fortinet FortiOS作系统和 FortiProxy Web 网关技术处理客户端服务器框架代理请求的弱点,获得受影响系统上的超级管理员权限。暴露 FortiGate 防火墙管理接口的系统尤其面临风险,使组织容易受到未经授权的访问。FortiGate 于 2 月 11 日披露了该漏洞及其修复程序。
重新受到关注
本周,当美国网络安全和基础设施安全局 (CISA) 将其添加到该机构的已知利用漏洞 (KEV) 目录中,标记勒索软件活动时,该漏洞再次引起了人们的关注。联邦民事行政分支机构必须在 4 月 4 日之前应用 Fortinet 针对该问题的修复程序,或者在解决之前停止使用该产品。
CVE-2025-24472 是 Fortinet 在 2025 年初披露的两个严重且相关的身份验证绕过漏洞之一。另一个是 CVE-2024-55591,它还允许攻击者在易受攻击的系统上获得最高级别的管理权限,而无需身份验证或本地访问。攻击者可以通过向 Node.js websocket 模块发送恶意构建的请求来利用该漏洞,该模块可实现实时客户端/服务器通信。该漏洞使 CISA 的 KEV 在 1 月份 Fortinet 披露该漏洞的同一天成为 TRUST,因为威胁行为者当时已经在积极利用它作为零日漏洞。
Forescout 的 Vedere Labs 的研究人员最近报告说,发现了 Mora_001,这是一个可能与 LockBit作有关的新独立勒索软件行为者,在野外积极利用 CVE-2025-24472 和 CVE-2024-55591。安全供应商表示,威胁行为者正在利用这两个 Fortinet 漏洞来获得对目标 Internet 暴露的 Fortinet 设备的初始访问权限,并将其权限升级到超级管理员级别。Forescout 表示,对于初始访问,威胁行为者要么通过暴露的 jsconsole 控制台直接利用这些漏洞,要么通过构建的 HTTPS 请求。在一些攻击中,Mora_001 使用公开可用的概念验证漏洞利用代码,而在其他攻击中,对手使用了略微修改的 PoC 版本。
入侵后,攻击者一直在创建多个管理员帐户和计划脚本,并与备份防火墙同步以保持持久性。Mora_001 的攻击链包括系统和网络发现、横向移动、数据泄露,最后是部署名为“SuperBlack”的勒索软件变体。
数月的漏洞利用活动
2024 年 12 月,Arctic Wolf 报告了它观察到的针对 Fortinet FortiGate 防火墙暴露的管理界面的威胁活动。该公司的公告当时并未将恶意活动与任何特定漏洞联系起来,但它敦促 Fortinet 客户限制对 Fortinet 防火墙管理界面的访问。在随后的 1 月 10 日。关于恶意活动的更新,Arctic Wolf 表示,它怀疑威胁行为者正在利用零日漏洞来利用防火墙,并敦促所有 Fortinet 客户“尽快紧急禁用公共接口上的防火墙管理访问”。Fortinet 在 1 月份披露的 CVE-2024-55591 证实了这一怀疑。
从那时起,针对这两个缺陷的攻击活动源源不断。但 Arctic Wolf 的高级威胁情报研究员 Stefan Hostetler 表示,针对这两个漏洞的攻击总体上已经净减少。“最佳实践表明,防火墙管理界面首先不会暴露在公共互联网上,”他说。
Arctic Wolf 正在继续跟踪与 Fortinet 漏洞相关的活动,但到目前为止无法将这些攻击归因于任何特定组织。“我们通过早期干预和阻止此类威胁所面临的挑战之一是,它限制了我们对开发链后期的可见性,”研究人员指出。“因此,我们对利用此漏洞部署的勒索软件变体没有太多的可见性。”
Hostetler 说,至少目前,针对 CVE-2024-55591 和 CVE-2025-24472 的攻击活动都与勒索软件有关,尽管过去,加密货币挖矿组织也利用了此类漏洞。“尽管 Fortinet 产品在这种情况下成为目标,但我们已经看到其他供应商的产品以类似的方式被利用,因此这种趋势并不仅限于任何一家供应商,”Hostetler 解释说。
CISA 和其他公司过去曾多次指出,Fortinet、Ivanti、Palo Alto Networks、Citrix、SonicWall 等公司的产品属于攻击者喜欢瞄准的边缘设备类别,因为它们提供了对受害者环境的访问。“正如我们在 2024 年底预测的那样,我们预计边缘设备将在 2025 年及以后继续被网络犯罪分子利用,”Hostetler 说。“只要有更多的钱可赚,威胁行为者就可能会继续利用错误配置和过时的固件。”
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/critical-fortinet-vulnerability-draws-fresh-attention
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局