【 資安警訊 】- 駭客涉嫌在暗網論壇上出售 FortiGate 防火牆 0-Day 漏洞
發布編號:OIS-CTI-2025-04-003
情資來源:Cybersecuritynews、fortiguard
事件類型:漏洞警訊公告
內容說明:
據報道,一名威脅行為者在一個著名的暗網論壇上發布了針對 Fortinet 的 FortiGate 防火牆的零日漏洞。
該漏洞聲稱可以實現未經身份驗證的遠端程式碼執行 (RCE) 和對 FortiOS 的完全配置存取,從而使攻擊者無需憑證即可控制易受攻擊的設備。。
這一令人擔憂的發展引發了人們對全球企業和政府機構廣泛使用的 Fortinet 防火牆安全性的嚴重擔憂。
ThreatMon 觀察到的論壇貼文擁有廣泛的功能,包括存取從受感染裝置中提取的敏感設定檔。這些文件據稱包含:
本機使用者憑證:儲存在加密的密碼 local_users.json。
管理員帳戶詳細資料:權限和信任關係記錄在admin_accounts.json。
雙重認證 (2FA) 狀態:有關 FortiToken 配置的資訊 ( two_factor.json)。
防火牆策略和網路配置:完整的規則集、NAT 映射、內部 IP 資產和位址群組。
這些數據可能允許攻擊者繞過安全措施、滲透網路並可能發動進一步的攻擊。該漏洞似乎針對的是存在身份驗證繞過漏洞的 FortiOS 版本,這是 Fortinet 產品中反覆出現的問題。
圖片來源:cybersecuritynews
Fortinet 漏洞的歷史背景
近年來,Fortinet 面臨多個零日漏洞。例如,今年早些時候,新發現的駭客組織貝爾森集團洩露了超過 15,000 個 FortiGate 防火牆的設定檔。
該漏洞與 CVE-2022-40684 有關,這是一個於 2022 年 10 月披露的身份驗證繞過漏洞。儘管兩年前就已被利用,但由於靜態防火牆配置,洩漏的資料仍然具有相關性。
最近,Fortinet 披露了另一個嚴重漏洞(CVE-2024-55591),攻擊者可以透過精心設計的請求獲得超級管理員權限。
此漏洞影響了 FortiOS 7.0.0 至 7.0.16 版本以及 FortiProxy 7.0.0 至 7.0.19 和 7.2.0 至 7.2.12 版本。這些事件凸顯了針對 Fortinet 產品的令人不安的攻擊模式。
所宣傳的零日漏洞對依賴 Fortinet 防火牆的組織構成了嚴重風險:
未經授權的存取:攻擊者可以獲得設備的管理控制權、修改配置並提取敏感資料。
網路入侵:被利用的防火牆可以作為網路橫向移動的入口點。
資料外洩:外洩的憑證和設定檔可能導致機密資訊外洩。
營運中斷:改變防火牆策略可能會破壞正常的網路運作或為未來的攻擊創造漏洞。
據報道,超過 30 萬個 Fortinet 防火牆面臨類似 RCE 漏洞的風險,潛在損失規模龐大。。
影響平台:
FortiOS 7.0.0 至 7.0.16 版本
FortiProxy 7.0.0 至 7.0.19 和 7.2.0 至 7.2.12 版本
建議措施:
定期將韌體更新到最新版本。
監控網路流量是否有異常活動。
對管理介面實施嚴格的存取控制。
對防火牆配置進行定期審核。
參考連結 :
https://cybersecuritynews.com/hackers-allegedly-selling-fortigate-0-day/