通告编号:NS-2025-0003
| TAG: | FortiOS&FortiProxy、身份验证绕过、CVE-2024-55591 |
| 漏洞危害: | 攻击者利用此漏洞,可实现身份验证绕过。 |
| 版本: | 1.0 |
1 漏洞概述
FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。
参考链接:
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
2 影响范围
受影响版本:
- 7.0.0 <= FortiOS <= 7.0.16
- 7.0.0 <= FortiProxy <= 7.0.19
- 7.2.0 <= FortiProxy <= 7.2.12
不受影响版本:
- FortiOS >= 7.0.17
- FortiProxy >= 7.0.20
- FortiProxy >= 7.2.13
3 攻击排查
用户可根据官方公布的IoC进行自查,检查自身系统是否遭受攻击。
1、检查系统中是否存在以下日志条目:
| type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Admin login successful” sn=”1733486785″ user=”admin” ui=”jsconsole” method=”jsconsole” srcip=1.1.1.1 dstip=1.1.1.1 action=”login” status=”success” reason=”none” profile=”super_admin” msg=”Administrator admin logged in successfully from jsconsole” |
| type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Object attribute configured” user=”admin” ui=”jsconsole(127.0.0.1)” action=”Add” cfgtid=1411317760 cfgpath=”system.admin” cfgobj=”vOcep” cfgattr=”password[*]accprofile[super_admin]vdom[root]” msg=”Add system.admin vOcep” |
2、检查系统最近是否存在以下异常操作:
(1)在设备上使用随机用户名创建管理员帐户
(2)在设备上使用随机用户名创建本地用户帐户
(3)创建用户组或将上述本地用户添加到现有的 sslvpn 用户组
(4)添加/更改其他设置(如防火墙策略、防火墙地址等)
(5)使用上面添加的本地用户登录 sslvpn 以获取到内部网络的隧道。
3、检查FortiGate是否存在与以下可疑IP地址的连接:
| 45.55.158.47 87.249.138.47 155.133.4.175 37.19.196.65 149.22.94.37 |
4 漏洞防护
4.1 官方升级
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://docs.fortinet.com/upgrade-tool/fortigate
4.2 临时防护措施
若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:
在不影响业务的前提下,禁用 HTTP/HTTPS 管理界面或使用本地策略限制访问进行临时缓解。
官方参考:https://fortiguard.fortinet.com/psirt/FG-IR-24-535
END
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。