【 資安警訊 】- Fortinet 防火牆傳出遭到零時差漏洞攻擊，多組人馬透過能從網際網路存取的管理介面入侵防火牆

發布編號：OIS-CTI-2025-01-003

情資來源：iThome、Fortinet

事件類型：漏洞警訊公告

內容說明：

資安業者 Fortinet 本週發布資安公告，指出部分版本的防火牆作業系統 FortiOS、上網安全閘道 FortiProxy 存在漏洞，且有實際攻擊行動出現。而漏洞利用攻擊的情況，很有可能與上週資安業者 Arctic Wolf 公布的攻擊行動 Console Chaos 有關

圖片來源：IThome

1 月 10 日 Arctic Wolf 提出警告，他們察覺專門針對 Fortinet 防火牆設備 FortiGate 的攻擊行動 Console Chaos，攻擊者鎖定能公開存取的管理介面下手，過程中很有可能利用零時差漏洞來進行，呼籲企業組織要儘速關閉能公開存取防火牆管理介面的管道來因應。

究竟這起事故是否為零時差漏洞攻擊？我們昨天下午透過公關公司與 Fortinet 確認，但到截稿為止尚未得到回應。不過，根據資安新聞網站 Bleeping Computer、The Hacker News、Dark Reading、SecurityAffairs 的報導，攻擊者在上述事故利用的零時差漏洞，後來資安業者 Fortinet 證實的確存在，並發布資安公告，揭露重大層級身分驗證繞過漏洞 CVE-2024-55591。

Fortinet 這份公告指出，CVE-2024-55591 出現在 Node.js 的 Websocket 模組，一旦攻擊者對該模組發送偽造的請求，就有機會奪走超級管理員權限，CVSS 風險達到 9.6 分（滿分 10 分），影響執行 7.0.0 至 7.0.16 版 FortiOS 作業系統的防火牆設備，以及 7.0.0 至 7.2.12 版上網安全閘道 FortiProxy 系統，該公司已發布 7.0.17 版 FortiOS，以及 7.0.20 與 7.2.13 版 FortiProxy 修補。

Fortinet 也表明此漏洞已被用於實際攻擊行動，但並未進一步說明細節，也沒有提及通報者的身分，因此我們無法以此確認本次公告的漏洞與 Arctic Wolf稍早揭露事故的關聯。

那麼 Arctic Wolf 看到什麼？他們揭露的攻擊活動樣貌很具體，根據研究人員 Andres Ramos 在 12 月 17 日發布的部落格文章指出，他們在 12 月上旬察覺專門針對 Fortinet 防火牆的攻擊行動，提醒該廠牌防火牆用戶採取因應措施防範，不過，當時他們尚未完全確定影響範圍，也沒有透露進一步的資訊。1 月 10 日 Arctic Wolf 有 7 位研究員，包含 Stefan Hostetler、Julian Tuin、Trevor Daher 等人，聯合發文，揭露相關細節，指出攻擊者存取FortiGate 的管理介面，從而竄改防火牆的組態配置，並利用 DCSync 挖掘帳密資料。而對於這起事故的通報，Arctic Wolf 表示他們在12 月12 日向Fortinet 通報此事，並在 17 日收到 Fortinet 的 PSIRT 的回應。

究竟攻擊者如何發動攻擊？研究人員表示他們無法確定，但根據受害組織及受影響的防火牆韌體等資訊，攻擊者很有可能大規模運用零時差漏洞來進行。

這波大規模攻擊大致區分成 4 個階段，分別是漏洞掃描、偵察、竄改 SSL VPN 組態，以及橫向移動。攻擊者從 11 月 16 日至 23 日進行漏洞掃描，隨後於 22 日至 27 日從事偵察工作。

接著，他們在 12 月 4 日至 7 日竄改 SSL VPN 組態，然後在一週後於 16 至 27 日於受害組織內部橫向移動。

研究人員提及，這些事故的共通點，在於攻擊者來自一組不尋常的 IP 位址，並透過 jsconsole 介面發動攻擊，他們針對執行 7.0.14 至 7.0.16 版 FortiOS作業系統的防火牆下手。有鑑於攻擊事故所運用的基礎設施及工具出現細微差異，Arctic Wolf 研判有多組人馬從事這波攻擊。

影響平台：

●       FortiOS & FortiProxy

建議措施：

Ø   將FortiOS 7.0.0-7.0.16 升級至 7.0.17以上版本

Ø   將FortiProxy 7.2.0-7.2.12 升級至 7.2.13以上版本

Ø   將FortiProxy 7.0.0-7.0.19 升級至 7.0.20以上版本

以上內容供大家參考，詳細內容可點及下方連結進行查看，謝謝。