这个星期二是许多科技业者发布本月份例行更新的日子,但资安业者Fortinet一个月前发布的公告突然更新内容,引起各界更高度的关注。
为何如此?原因是这则公告与资安业者Arctic Wolf揭露的防火墙攻击事故有关,但为何会事隔一个月才公告新漏洞?Fortinet表示,当时他们并未察觉攻击者利用第二个漏洞的迹象。
【漏洞与修补】
今年1月中旬资安业者Fortinet发布资安公告FG-IR-24-535,指出部分版本的防火墙作业系统FortiOS、上网安全闸道FortiProxy存在漏洞CVE-2024-55591,且有实际攻击行动出现。外界根据Fortinet透露的入侵指标(IoC),认为攻击行动就是资安业者Arctic Wolf揭露的Console Chaos。如今Fortinet再度更新公告的内容,引起外界关注。
Fortinet指出,除了先前揭露的CVE-2024-55591,还有另一个漏洞CVE-2025-24472也被用于攻击行动,此为身分验证绕过漏洞,影响执行7.0.0至7.0.16版FortiOS作业系统的防火墙,以及7.0.0至7.0.19版、7.2.0至7.2.12版网页安全闸道FortiProxy,CVSS风险评为8.1。攻击者可发出特制的CSF(Fortinet Security Fabric)代理伺服器请求,远端利用这项漏洞,而有机会得到超级管理员权限。此漏洞之所以得以揭露,Fortinet也注明是源自另一家资安业者watchTowr的通报。
根据CVSS风险评分高低,最严重的是评为8.7分的CVE-2025-0064,此为授权不当造成的弱点,出现在BusinessObjects的集中管理主控台,取得管理员权限的攻击者可在特定情况下取得或产生密码片语(passphrase),而能假冒任意使用者,从而高度影响机密性及完整性。
另一个相当严重的漏洞是CVE-2025-25243,此漏洞发生在SRM,为路径穿越漏洞,危险程度达到8.6。未经授权的攻击者可借由公开的Servlet程式,于目标网路环境下载任意档案,过程里完全不须使用者互动。
其他攻击与威胁
◆◆