Fortinet产品多重漏洞可能导致远程代码执行

Fortinet旗下多款产品存在严重安全漏洞,包括FortiOS、FortiManager、FortiAnalyzer等,攻击者可利用这些漏洞执行远程代码,获取系统控制权。本文详细分析了漏洞影响范围、技术细节及修复建议。

Fortinet产品多重漏洞可能导致远程代码执行

MS-ISAC 咨询编号:2025-021
发布日期:2025年3月11日

概述

在Fortinet产品中发现多个漏洞,其中最严重的漏洞可能允许远程代码执行。

  • FortiManager:网络和安全管理系统工具,通过单一控制台集中管理Fortinet设备
  • FortiManager Cloud:基于云的服务,用于跨多个站点的Fortinet设备的集中管理、监控和自动化
  • FortiOS:Fortinet专有操作系统,用于多个产品线
  • FortiProxy:安全Web网关,保护用户免受互联网攻击,提供网络保护和可见性
  • FortiAnalyzer:日志管理、分析和报告平台,提供单一控制台进行管理、自动化、编排和响应
  • FortiSandbox 5.0:结合AI/ML、静态和动态分析的安全解决方案,实时识别高级威胁
  • FortiPAM:特权账户管理解决方案,提供会话监控和基于角色的访问控制
  • FortiNDR:AI驱动的网络检测与响应(NDR)解决方案
  • FortiWeb:Web应用防火墙(WAF),保护Web应用和API
  • FortiSIEM:安全信息与事件管理(SIEM)解决方案,提供实时基础设施和用户感知
  • FortiIsolator:浏览器隔离解决方案,通过远程容器执行Web内容
  • FortiMail:电子邮件安全解决方案,包含反垃圾邮件、反病毒等功能
  • FortiClient:Fabric代理,提供保护、合规和安全访问
  • FortiADC:应用交付控制器(ADC),具有高级安全功能

成功利用最严重的漏洞可能允许在受影响服务账户的上下文中执行远程代码。根据服务账户的权限,攻击者可以安装程序、查看/更改/删除数据或创建具有完全用户权限的新账户。

威胁情报

目前没有这些漏洞在野利用的报告。

受影响系统

FortiADC

  • 5.3所有版本
  • 5.4所有版本
  • 6.0所有版本
  • 6.1所有版本
  • 6.2所有版本
  • 7.0所有版本
  • 7.1.0至7.1.3
  • 7.2.0至7.2.1
  • 7.4.0

FortiAnalyzer

  • 6.2所有版本
  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.5
  • 7.4.0至7.4.2

FortiAnalyzer-BigData

  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.7
  • 7.4.0至7.4.1

FortiClientLinux

  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.5
  • 7.4.0

FortiClientMac

  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.8
  • 7.4.0至7.4.2

FortiClientWindows

  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.4
  • 7.4.0

FortiIsolator

  • 2.4.0至2.4.5

FortiMail

  • 6.4所有版本
  • 7.0所有版本
  • 7.2所有版本
  • 7.4.0至7.4.3
  • 7.6.0至7.6.1

FortiManager

  • 4.3.4至4.3.8
  • 5.0所有版本
  • 5.2所有版本
  • 5.4所有版本
  • 5.6所有版本
  • 6.0所有版本
  • 6.2所有版本
  • 6.4所有版本
  • 7.0所有版本
  • 7.2.0至7.2.5
  • 7.4.0至7.4.3

FortiNDR

  • 1.5所有版本
  • 7.0.0至7.0.5
  • 7.1.0至7.1.1
  • 7.2.0至7.2.1
  • 7.4.0

FortiOS

  • 6.2所有版本
  • 6.4.0至6.4.15
  • 7.0.0至7.0.15
  • 7.2.0至7.2.9
  • 7.4.0至7.4.4

FortiPAM

  • 1.0所有版本
  • 1.1所有版本
  • 1.2所有版本
  • 1.3.0至1.3.1
  • 1.4.0至1.4.2

FortiProxy

  • 7.0.0至7.0.19
  • 7.2.0至7.2.12
  • 7.4.0至7.4.6
  • 7.6.0

FortiSandbox

  • 3.0所有版本
  • 3.1所有版本
  • 3.2所有版本
  • 4.0所有版本
  • 4.2所有版本
  • 4.4.0至4.4.6
  • 5.0.0

FortiSIEM

  • 5.1所有版本
  • 5.2所有版本
  • 5.3所有版本
  • 5.4所有版本
  • 6.1所有版本
  • 6.2所有版本
  • 6.3所有版本
  • 6.4所有版本
  • 6.5所有版本
  • 6.6所有版本
  • 6.7所有版本
  • 7.0所有版本
  • 7.1所有版本
  • 7.2所有版本

FortiSRA

  • 1.4.0至1.4.2

FortiWeb

  • 7.0所有版本
  • 7.2所有版本
  • 7.4所有版本
  • 7.6.0

风险等级

政府机构

  • 大型和中型政府实体:高
  • 小型政府实体:中

企业

  • 大型和中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术摘要

在Fortinet产品中发现多个漏洞,其中最严重的可能允许远程代码执行。漏洞详情如下:

战术:初始访问(TA0001)

技术:利用面向公众的应用(T1190)

  • CVE-2023-48790:FortiNDR中的跨站请求伪造漏洞,允许远程未认证攻击者通过特制HTTP GET请求执行未授权操作
  • CVE-2023-40723:FortiSIEM中的敏感信息泄露漏洞,允许远程未认证攻击者通过特制API请求读取数据库密码
  • CVE-2024-45328:FortiSandbox中的错误授权漏洞,允许低权限管理员通过GUI控制台菜单执行提升的CLI命令
  • CVE-2024-55590:FortiIsolator中的多个OS命令注入漏洞,允许具有只读权限的认证攻击者通过特制CLI命令执行未授权代码
  • CVE-2024-45324:FortiOS、FortiProxy、FortiPAM、FortiSRA和FortiWeb中的外部控制格式字符串漏洞,允许特权攻击者通过特制HTTP/HTTPS命令执行未授权代码
  • CVE-2024-52961:FortiSandbox中的OS命令注入漏洞,允许具有只读权限的认证攻击者通过特制请求执行未授权命令
  • CVE-2024-54027:FortiSandbox中的硬编码加密密钥漏洞,允许具有超级管理员权限的攻击者通过CLI读取敏感数据
  • CVE-2023-37933:FortiADC GUI中的跨站脚本漏洞,允许认证攻击者通过特制HTTP/HTTPS请求执行XSS攻击

较低严重性漏洞详情

  • CVE-2024-55597:FortiWeb API端点中的路径遍历漏洞,允许具有管理员权限的认证攻击者访问和修改文件系统
  • CVE-2024-55592:FortiSIEM中的错误授权漏洞,允许认证攻击者通过特制HTTP请求对事件执行未授权操作
  • CVE-2024-33501:FortiAnalyzer、FortiManager和FortiAnalyzer-BigData中的两个SQL注入漏洞,允许特权攻击者通过特制CLI请求执行未授权代码
  • CVE-2024-52960:FortiSandbox中的客户端强制执行服务器端安全漏洞,允许具有只读权限的认证攻击者通过特制请求执行未授权命令
  • CVE-2024-54018:FortiSandbox中的多个OS命令注入漏洞,允许特权攻击者通过特制请求执行未授权命令
  • CVE-2024-32123:FortiManager CLI中的多个OS命令注入漏洞,允许特权攻击者通过特制CLI请求执行未授权代码
  • CVE-2024-46663:FortiMail CLI中的栈缓冲区溢出漏洞,允许特权攻击者通过特制CLI命令执行任意代码
  • CVE-2023-42784, CVE-2024-55594:FortiWeb中的两个语法无效结构处理不当漏洞,允许未认证攻击者通过HTTP/S特制请求绕过Web防火墙保护
  • CVE-2024-54026:FortiSandbox中的SQL注入漏洞,允许特权攻击者通过特制HTTP请求执行未授权代码

成功利用最严重的漏洞可能允许攻击者在系统上下文中执行远程代码。根据服务账户的权限,攻击者可以安装程序、查看/更改/删除数据或创建具有完全用户权限的新账户。

建议措施

建议采取以下行动:

  1. 应用更新:在适当测试后立即为易受攻击的系统应用Fortinet提供的适当更新(M1051:更新软件)

    • 保障措施7.1:建立和维护企业资产的漏洞管理流程
    • 保障措施7.2:建立和维护基于风险的修复策略
    • 保障措施7.4:执行自动化应用补丁管理
    • 保障措施7.5:执行企业内部资产的自动化漏洞扫描
    • 保障措施7.7:修复检测到的漏洞
    • 保障措施12.1:确保网络基础设施保持最新
    • 保障措施18.1:建立和维护渗透测试程序
    • 保障措施18.2:执行定期外部渗透测试
    • 保障措施18.3:修复渗透测试发现的问题

  2. 最小权限原则:对所有系统和服务应用最小权限原则,以非特权用户身份运行所有软件(M1026:特权账户管理)

    • 保障措施4.7:管理企业资产和软件上的默认账户
    • 保障措施5.5:建立和维护服务账户清单

  3. 漏洞扫描:使用漏洞扫描发现潜在可利用的软件漏洞并进行修复(M1016:漏洞扫描)

    • 保障措施16.13:执行应用渗透测试

  4. 网络分段:通过网络架构隔离关键系统、功能或资源(M1030:网络分段)

    • 保障措施12.2:建立和维护安全网络架构

  5. 利用保护:使用功能检测和阻止可能导致软件利用的条件(M1050:利用保护)

    • 保障措施10.5:启用反利用功能

参考链接

CVE

Fortinet

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次