CVE-2024-55591：影响FortiOS和FortiProxy的关键认证绕过漏洞在野利用分析

摘要

2025年1月14日，FortiNet发布了一份关于其FortiOS和FortiProxy产品某些版本中存在认证绕过漏洞的公告。该漏洞随后被分配了CVE ID CVE-2024-55591（CVSS 9.6）。此漏洞可允许远程攻击者在设备上获得超级管理员权限，据报告已在野利用，尽管在撰写本文时尚无公开的PoC。根据Arctic Wolf Labs的数据，似乎与此漏洞相关的活动最早始于11月16日，并持续到12月。

受影响系统和/或应用程序

• FortiOS 7.0.0 – 7.0.16
• FortiProxy 7.0.0 – 7.0.19, 7.2.0 – 7.2.12

未提及的FortiOS和FortiProxy版本不受CVE-2024-55591影响。

技术细节

一个影响FortiOS版本7.0.0至7.0.16以及FortiProxy版本7.0.0至7.0.19和7.2.0至7.2.12的“使用替代路径或通道的认证绕过”漏洞，允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。

威胁行为者利用后活动

Fortinet的公告包括以下利用后行为的示例。

登录活动日志，带有随机脚本和dstip：

1

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

创建管理员日志，带有看似随机生成的用户名和源IP：

1

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

攻击者在上述日志中主要使用以下IP地址：

• 1.1.1.1
• 127.0.0.1
• 2.2.2.2
• 8.8.8.8
• 8.8.4.4

请注意，上述IP参数由攻击者控制，因此可以是任何其他IP地址。同时请注意，sn和cfgtid与攻击无关。

在我们观察到的案例中，威胁行为者（TA）执行的操作包括以下部分或全部：

• 在设备上创建具有随机用户名的管理员账户
• 在设备上创建具有随机用户名的本地用户账户
• 创建用户组或将上述本地用户添加到现有的sslvpn用户组
• 添加/更改其他设置（防火墙策略、防火墙地址等）
• 使用上述添加的本地用户登录sslvpn以获取到内部网络的隧道

TA创建的管理员或本地用户是随机生成的，例如：

• Gujhmk
• Ed8x4k
• G0xgey
• Pvnw81
• Alg7c4
• Ypda8a
• Kmi8p4
• 1a2n6t
• 8ah1t6
• M4ix9f
• …等…

此外，观察到TA使用以下IP地址：

• 45.55.158.47（最常用）
• 87.249.138.47
• 155.133.4.175
• 37.19.196.65
• 149.22.94.37

缓解措施和变通方案

要缓解CVE-2024-55591，请至少升级到以下版本：

• FortiOS: 7.0.17+
• FortiProxy: 7.0.20+, 7.2.13+

Fortinet公告还提供了以下变通方案：

禁用HTTP/HTTPS管理界面

或

通过本地入站策略限制可访问管理界面的IP地址：

1
2
3

config firewall address 
edit "my_allowed_addresses" 
set subnet end 

然后创建一个地址组：

1
2
3
4

config firewall addrgrp 
edit "MGMT_IPs" 
set member "my_allowed_addresses" 
end

创建本地入站策略，仅允许预定义组在管理接口（此处：port1）上访问：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

config firewall local-in-policy 
edit 1 set intf port1 
set srcaddr "MGMT_IPs" 
set dstaddr "all" 
set action accept 
set service HTTPS
set status enable
next

edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

如果使用非默认端口，为GUI管理访问创建适当的服务对象：

1
2
3
4
5
6
7
8

config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next

edit GUI_HTTP
set tcp-portrange 80
end

在下面的本地入站策略1和2中使用这些对象，而不是“HTTPS HTTP”。

请注意，trusthost功能仅在所有GUI用户都配置了它的情况下才能实现与上述本地入站策略相同的效果。因此，上述本地入站策略是首选的变通方案。

请联系客户支持获取帮助。

网络融合中心正在采取的措施

CFC将继续监控情况，并在需要时发送公告更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后，立即收到扫描范围内发现的关键漏洞的相关结果。

此外，我们正在基于与去年利用活动相关的利用和利用后行为特征启动威胁狩猎活动。

Qualys ID: 44501 Tenable ID: https://www.tenable.com/plugins/nessus/214072

参考

• https://www.fortiguard.com/psirt/FG-IR-24-535
• https://www.cve.org/CVERecord?id=CVE-2024-55591
• https://www.theregister.com/2025/01/14/miscreants_mass_exploited_fortinet_firewalls/