根據消息,一位未具名的威脅行為者聲稱,Fortinet 的 FortiGate 防火牆中存在一個零日漏洞,該漏洞可以被遠端利用,讓攻擊者無需身份驗證即可執行任意代碼。
該威脅行為者在暗網論壇上表示,這個漏洞的利用方式能讓攻擊者完全控制受影響的設備,並能提取 FortiOS 配置文件及其他敏感資訊,例如使用者憑證、雙重身份驗證狀態等。
資安公司 ThreatMon 昨日上午在社群平台 X 上警告了這一威脅行為者的聲明。
巧合的是,該威脅行為者的貼文與 Fortinet 發布關於 FortiOS 和 FortiProxy 產品中已知漏洞被利用的安全公告幾乎同時出現。據報導,目前已有超過 14,000 台設備遭到攻擊入侵。
這些已知漏洞包括 CVE-2022-42475、CVE-2023-27997 和 CVE-2024-21762,已在全球範圍內被用於攻擊行動。
根據 Fortinet 的公告:「一位威脅行為者利用已知漏洞對易受攻擊的 FortiGate 設備實現了只讀訪問權限,這是透過在 SSL-VPN 用於提供語言文件的資料夾中建立用戶檔案系統與根檔案系統之間的符號連結達成的。」
針對這些已知漏洞,Fortinet 建議用戶將 FortiOS 升級至以下版本:7.6.2、7.4.7、7.2.11、7.0.17 或 6.4.16,以移除惡意檔案並防止再次被入侵;
