Fortinet产品多重漏洞可能导致远程代码执行

本文详细分析了Fortinet多款产品中发现的多个安全漏洞,其中最严重的漏洞可能允许攻击者执行远程代码。涵盖了受影响系统版本、漏洞技术细节及修复建议,为企业安全防护提供重要参考。

Fortinet产品多重漏洞可能导致远程代码执行

MS-ISAC 通告编号:2025-040
发布日期:2025年4月8日

概述

在Fortinet产品中发现了多个漏洞,其中最严重的漏洞可能允许远程代码执行。

  • FortiAnalyzer:日志管理、分析和报告平台,为组织提供单一控制台来管理、自动化、编排和响应,简化安全操作,主动识别和修复风险,并提供对整个攻击环境的完全可见性。
  • FortiClient端点管理服务器(EMS):集中管理平台,用于在端点上管理和部署FortiClient软件,为使用FortiClient进行端点安全的组织提供可见性、策略执行和合规性管理。
  • FortiIsolator:Fortinet的浏览器隔离解决方案,通过在用户浏览器和网络内容之间创建视觉“空气间隙”,保护用户免受通过网络和电子邮件传递的零日恶意软件和网络钓鱼威胁。
  • FortiManager:全面的网络管理解决方案,旨在简化复杂网络环境中Fortinet设备的管理、配置和监控。
  • FortiOS:Fortinet的专有操作系统,用于多个产品线。
  • FortiProxy:安全Web代理解决方案,通过过滤Web流量和提供高级威胁防护来增强网络安全性。
  • FortiSwitch Manager:使网络管理员能够简化非FortiGate管理的FortiSwitch部署的复杂性。
  • FortiVoice:强大的通信解决方案,集成语音、会议和消息服务,以增强业务协作和生产力。
  • FortiWeb:Web应用程序防火墙(WAF),保护Web应用程序和API免受针对已知和未知漏洞的攻击,并帮助保持法规合规性。

成功利用这些漏洞中最严重的漏洞可能允许在受影响服务帐户的上下文中执行远程代码。根据与服务帐户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。配置为在系统上具有较少用户权限的服务帐户可能比具有管理用户权限的服务帐户受影响较小。

威胁情报

目前没有关于这些漏洞在野外被利用的报告。

受影响系统

  • FortiAnalyzer 6.2.0 至 6.2.13
  • FortiAnalyzer 6.4.0 至 6.4.14
  • FortiAnalyzer 7.0.0 至 7.0.11
  • FortiAnalyzer 7.0.0 至 7.0.13
  • FortiAnalyzer 7.2.0 至 7.2.4
  • FortiAnalyzer 7.2.0 至 7.2.8
  • FortiAnalyzer 7.4.0 至 7.4.2
  • FortiAnalyzer 7.4.0 至 7.4.5
  • FortiAnalyzer 7.6.0 至 7.6.1
  • FortiClientEMS 7.2.1 至 7.2.8
  • FortiClientEMS 7.4.0 至 7.4.1
  • FortiIsolator 2.4.3 至 2.4.6
  • FortiManager 6.2.0 至 6.2.13
  • FortiManager 6.4.0 至 6.4.14
  • FortiManager 7.0.0 至 7.0.11
  • FortiManager 7.0.0 至 7.0.13
  • FortiManager 7.2.0 至 7.2.4
  • FortiManager 7.2.0 至 7.2.8
  • FortiManager 7.4.0 至 7.4.2
  • FortiManager 7.4.0 至 7.4.5
  • FortiManager 7.6.0 至 7.6.1
  • FortiOS 6.2.0 至 6.2.16
  • FortiOS 6.4 所有版本
  • FortiOS 7.0 所有版本
  • FortiOS 7.0.0 至 7.0.15
  • FortiOS 7.0.1 至 7.0.12
  • FortiOS 7.2 所有版本
  • FortiOS 7.4 所有版本
  • FortiProxy 2.0 所有版本
  • FortiSwitch
  • FortiSwitch 6.4.0 至 6.4.14
  • FortiSwitch 7.0.0 至 7.0.10
  • FortiSwitch 7.2.0 至 7.2.8
  • FortiSwitch 7.4.0 至 7.4.4
  • FortiSwitch 7.6.0
  • FortiVoice 6.0 所有版本
  • FortiVoice 6.4.0 至 6.4.8
  • FortiVoice 7.0.0 至 7.0.2
  • FortiWeb 7.0 所有版本
  • FortiWeb 7.2 所有版本
  • FortiWeb 7.4.0 至 7.4.2
  • FortiWeb 7.4.0 至 7.4.6
  • FortiWeb 7.6.0 至 7.6.2

风险等级

  • 政府
    • 大型和中型政府实体:高
    • 小型政府实体:中
  • 企业
    • 大型和中型企业实体:高
    • 小型企业实体:中
  • 家庭用户:低

技术摘要

在Fortinet产品中发现了多个漏洞,其中最严重的漏洞可能允许远程代码执行。漏洞详情如下:

策略:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)

  1. FortiSwitch GUI中的未验证密码更改漏洞[CWE-620]可能允许远程未经身份验证的攻击者通过特制请求修改管理员密码。(CVE-2024-48887)
  2. FortiIsolator中OS命令使用的特殊元素的不当中和(‘OS命令注入’)漏洞[CWE-78]可能允许具有超级管理员配置文件和CLI访问权限的特权攻击者通过特制的HTTP请求执行未经授权的代码。(CVE-2024-54024)
  3. FortiOS、FortiProxy、FortiManager、FortiAnalyzer、FortiVoice和FortiWeb中通信通道到预期端点的不当限制漏洞[CWE-923]可能允许中间人位置的未经身份验证的攻击者通过拦截管理设备和被管理设备之间的FGFM身份验证请求来冒充管理设备(FortiCloud服务器和/或在某些条件下的FortiManager)。(CVE-2024-26013,CVE-2024-50565)

较低严重性漏洞详情

  1. FortiIsolator CLI中OS命令使用的特殊元素的不当中和(‘OS命令注入’)漏洞[CWE-78]可能允许特权攻击者通过特制的CLI请求执行未经授权的代码或命令。(CVE-2024-54025)
  2. FortiManager和FortiAnalyzer中的日志输出不当中和漏洞[CWE-117]可能允许未经身份验证的远程攻击者通过特制的登录请求污染日志。(CVE-2024-52962)
  3. FortiOS中凭据保护不足漏洞[CWE-522]可能允许特权身份验证攻击者通过将FortiOS配置中的LDAP服务器IP地址修改为指向恶意攻击者控制的服务器来检索LDAP凭据。(CVE-2024-32122)
  4. FortiWeb小部件仪表板中的不正确用户管理漏洞[CWE-286]可能允许具有至少只读管理员权限的身份验证攻击者通过特制请求对其他管理员的仪表板执行操作。(CVE-2024-46671)
  5. FortiClient中网页生成期间输入不当中和(‘跨站脚本’)漏洞[CWE-79]可能允许EMS管理员发送包含JavaScript代码的消息。(CVE-2025-22855)
  6. FortiWeb端点中路径名到受限目录的不当限制(‘路径遍历’)漏洞[CWE-22]可能允许身份验证的管理员通过特制请求访问和修改文件系统。(CVE-2025-25254)
  7. FortiOS和FortiProxy SSLVPN webmode中的多个潜在问题,包括未初始化资源的使用[CWE-908]和过度迭代[CWE-834],可能允许VPN用户破坏内存,通过特制请求可能导致代码或命令执行。(CVE-2023-37930)

成功利用这些漏洞可能允许攻击者在系统上下文中执行远程代码。根据与系统关联的权限,攻击者可以安装程序;查看、更改或删除数据。

建议

我们建议采取以下行动:

  1. 应用适当更新:在适当测试后立即将Fortinet提供的适当更新应用于易受攻击的系统。(M1051:更新软件)

    • 保障措施7.1:建立和维护漏洞管理流程:为企业资产建立和维护文档化的漏洞管理流程。每年或发生可能影响此保障措施的重大企业变更时审查和更新文档。
    • 保障措施7.2:建立和维护修复流程:建立和维护基于风险的修复策略,记录在修复流程中,每月或更频繁地审查。
    • 保障措施7.4:执行自动化应用程序补丁管理:通过每月或更频繁的自动化补丁管理对企业资产执行应用程序更新。
    • 保障措施7.5:执行内部企业资产的自动化漏洞扫描:每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和未经身份验证的扫描。
    • 保障措施7.7:修复检测到的漏洞:根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。
    • 保障措施12.1:确保网络基础设施是最新的:确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。

  2. 应用最小权限原则:对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权帐户管理)

    • 保障措施4.7:管理企业资产和软件上的默认帐户:管理企业资产和软件上的默认帐户,例如root、管理员和其他预配置的供应商帐户。示例实现包括:禁用默认帐户或使其无法使用。
    • 保障措施5.5:建立和维护服务帐户清单:建立和维护服务帐户清单。清单至少必须包含部门所有者、审查日期和目的。定期执行服务帐户审查以验证所有活动帐户是否已授权,最少每季度或更频繁地进行。

  3. 漏洞扫描:使用漏洞扫描来查找可能可利用的软件漏洞并进行修复。(M1016:漏洞扫描)

    • 保障措施16.13:进行应用程序渗透测试:进行应用程序渗透测试。对于关键应用程序,身份验证的渗透测试比代码扫描和自动化安全测试更适合查找业务逻辑漏洞。渗透测试依赖于测试员的技能,以身份验证和未经身份验证的用户手动操作应用程序。

  4. 网络分段:架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问可能敏感的系统信息。使用DMZ包含不应从内部网络公开的任何面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)

    • 保障措施12.2:建立和维护安全网络架构:建立和维护安全网络架构。安全网络架构必须至少解决分段、最小权限和可用性。

  5. 利用保护:使用功能检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)

    • 保障措施10.5:启用反利用功能:在可能的情况下,在企业资产和软件上启用反利用功能,例如Microsoft®数据执行预防(DEP)、Windows® Defender Exploit Guard(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。

  6. 渗透测试

    • 保障措施18.1:建立和维护渗透测试程序:建立和维护适合企业规模、复杂性和成熟度的渗透测试程序。渗透测试程序特征包括范围,例如网络、Web应用程序、应用程序编程接口(API)、托管服务和物理场所控制;频率;限制,例如可接受的时间和排除的攻击类型;联系点信息;修复,例如如何内部路由发现;以及回顾性要求。
    • 保障措施18.2:执行定期外部渗透测试:根据程序要求执行定期外部渗透测试,不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是透明盒或不透明盒。
    • 保障措施18.3:修复渗透测试发现:根据企业的修复范围和优先级政策修复渗透测试发现。

参考

CVE

Fortinet

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次