一、漏洞概述
近日,绿盟科技CERT监测到Fortinet发布安全通告,修复了FortiOS和FortiProxy中的身份认证绕过漏洞(CVE-2024-55591),未经身份验证的攻击者可通过向Node.js websocket模块发送特制数据包绕过系统身份验证,从而获得目标系统的超级管理员权限。CVSS评分9.8,目前已发现在野利用,请相关用户尽快采取措施进行防护。
FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。
参考链接:
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
二、影响范围
受影响版本
- 0.0 <= FortiOS <= 7.0.16
- 0.0 <= FortiProxy <= 7.0.19
- 2.0 <= FortiProxy <= 7.2.12
不受影响版本
- FortiOS >= 7.0.17
- FortiProxy >= 7.0.20
- FortiProxy >= 7.2.13
三、攻击排查
用户可根据官方公布的IoC进行自查,检查自身系统是否遭受攻击。
- 检查系统中是否存在以下日志条目:
| type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Admin login successful” sn=”1733486785″ user=”admin” ui=”jsconsole” method=”jsconsole” srcip=1.1.1.1 dstip=1.1.1.1 action=”login” status=”success” reason=”none” profile=”super_admin” msg=”Administrator admin logged in successfully from jsconsole” |
| type=”event” subtype=”system” level=”information” vd=”root” logdesc=”Object attribute configured” user=”admin” ui=”jsconsole(127.0.0.1)” action=”Add” cfgtid=1411317760 cfgpath=”system.admin” cfgobj=”vOcep” cfgattr=”password[*]accprofile[super_admin]vdom[root]” msg=”Add system.admin vOcep” |
- 检查系统最近是否存在以下异常操作:
(1)在设备上使用随机用户名创建管理员帐户
(2)在设备上使用随机用户名创建本地用户帐户
(3)创建用户组或将上述本地用户添加到现有的 sslvpn 用户组
(4)添加/更改其他设置(如防火墙策略、防火墙地址等)
(5)使用上面添加的本地用户登录 sslvpn 以获取到内部网络的隧道。
3、检查FortiGate是否存在与以下可疑IP地址的连接:
| 45.55.158.47 87.249.138.47 155.133.4.175 37.19.196.65 149.22.94.37 |
四、漏洞防护
-
- 官方升级
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://docs.fortinet.com/upgrade-tool/fortigate
- 临时防护措施
若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:
在不影响业务的前提下,禁用 HTTP/HTTPS 管理界面或使用本地策略限制访问进行临时缓解。
官方参考:https://fortiguard.fortinet.com/psirt/FG-IR-24-535
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。