威脅情資

【OIS-CTI 情資發送 OIS-CTI-2025-02-002】-【 資安警訊 】- Fortinet公布已被用於攻擊防火牆的新漏洞,上網安全閘道也曝險

資安警訊 - Fortinet公布已被用於攻擊防火牆的新漏洞,上網安全閘道也曝險


發布編號:OIS-CTI-2025-02-002

情資來源iThome、Fortinet


事件類型:漏洞警訊公告


內容說明


針對一個月前重大漏洞 CVE-2024-55591 被用於攻擊行動的情況,今天 Fortinet 更新公告的內容,引起外界關注。他們指出攻擊過程中駭客還同時搭配另一項身分驗證繞過漏洞CVE-2025-24472 ,從而將 SSL VPN 服務作為存取受害組織內部環境的管道。

 圖片來源:IThome



今年 1 月中旬資安業者 Fortinet 發布資安公告 FG-IR-24-535,指出部分版本的防火牆作業系統FortiOS、上網安全閘道 FortiProxy 存在漏洞 CVE-2024-55591,且有實際攻擊行動出現。外界根據 Fortinet 透露的入侵指標(IoC),認為攻擊行動就是資安業者 Arctic Wolf 揭露的 Console Chaos。如今 Fortinet 再度更新公告的內容,引起外界關注。


Fortinet 指出,除了先前揭露的 CVE-2024-55591,還有另一個漏洞 CVE-2025-24472 也被用於攻擊行動,此為身分驗證繞過漏洞,影響執行 7.0.0 至 7.0.16 版 FortiOS 作業系統的防火牆,以及7.0.0 至 7.0.19 版、7.2.0 至 7.2.12 版網頁安全閘道 FortiProxy,CVSS 風險評為 8.1。攻擊者可發出特製的 CSF(Fortinet Security Fabric)代理伺服器請求,遠端利用這項漏洞,而有機會得到超級管理員權限。此漏洞之所以得以揭露,Fortinet 也註明是源自另一家資安業者 watchTowr 的通報。


對於這項漏洞被用於攻擊的情況,根據 Fortinet 公布的入侵指標(IoC)資訊,攻擊者很有可能會產生隨機使用者名稱的管理員帳號、本機使用者帳號,並將本機帳號加入 SSL VPN 群組,從而將目標設備的 SSL VPN 服務做為存取內部網路環境的隧道。此外,攻擊者也可能會竄改防火牆政策、IP 位址等設定,來避免攻擊行動敗露。


由於這項編號為 FG-IR-24-535 的公告 Fortinet 先前已發布,時隔一個月後的現在,卻突然在同一份公告加入新的高風險弱點,這樣的情況並不尋常。對此,我們也進一步詢問 Fortinet,他們表示, CVE-2025-24472 已於 1 月發布公告時就已經修補,如果用戶當時套用修補CVE-2024-55591  漏洞的更新軟體,現在就能夠防範 CVE-2025-24472 帶來的資安風險。


但為何會一個月後才公布這項漏洞?Fortinet 表示,當時他們並未察覺 CVE-2025-24472 遭到利用的跡象。


影響平台


  • Fortinet 防火牆作業系統 FortiOS

  • Fortinet 上網安全閘道 FortiProxy


建議措施


  • FortiOS 7.6  不受影響

  • FortiOS 7.4  不受影響

  • FortiOS 7.2   不受影響

  • FortiOS 7.0   7.0.0 至 7.0.16 升級到 7.0.17 或更高版本

  • FortiOS 6.4   不受影響

  • FortiProxy 7.6   不受影響

  • FortiProxy 7.4   不受影響

  • FortiProxy 7.2   7.2.0 至 7.2.12 升級到 7.2.13 或更高版本

  • FortiProxy 7.0   7.0.0 至 7.0.19 升級到 7.0.20 或更高版本

  • FortiProxy 2.0   不受影響



IoC

  • Following login activity log with random scrip and dstip:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"


  • Following admin creation log with seemingly randomly generated user name and source IP:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"


  • The following IP addresses were mostly found used by attackers in above logs:

1.1.1.1

127.0.0.1

2.2.2.2

8.8.8.8

8.8.4.4





參考連結

 https://www.ithome.com.tw/news/167334

https://fortiguard.fortinet.com/psirt/FG-IR-24-535





--
If you have any questions, please do not hesitate to contact us.

開啟資安系統股份有限公司 Open Information Security Inc.
網路威脅情資分享 OIS-CTI (OIS Cyber Threat Intelligence)
返回列表 返回首頁