Fortinet产品多重漏洞威胁:远程代码执行风险深度解析

本文详细分析了Fortinet多款产品中发现的12个安全漏洞,包括CVE-2024-48887等高风险漏洞,这些漏洞可能导致远程代码执行、权限提升和敏感信息泄露,影响FortiOS、FortiManager等多个产品版本。

Fortinet产品多重漏洞可能导致远程代码执行

MS-ISAC 通告编号:2025-040 发布日期:2025年4月8日

概述

在Fortinet产品中发现多个漏洞,其中最严重的漏洞可能允许远程代码执行。

FortiAnalyzer是一个日志管理、分析和报告平台,为组织提供单一控制台来管理、自动化、编排和响应,简化安全操作,主动识别和修复风险,并提供对整个攻击态势的完整可见性。

FortiClient端点管理服务器(EMS)是一个集中式平台,用于管理和部署端点上的FortiClient软件,为使用FortiClient进行端点安全的组织提供可见性、策略执行和合规性管理。

FortiIsolator是Fortinet的浏览器隔离解决方案,通过在用户浏览器和Web内容之间创建视觉"空气间隙",保护用户免受通过Web和电子邮件传递的零日恶意软件和网络钓鱼威胁。

FortiManager是一个全面的网络管理解决方案,旨在简化复杂网络环境中Fortinet设备的管理、配置和监控。

FortiOS是Fortinet的专有操作系统,在多个产品线中使用。FortiProxy是一个安全的Web代理解决方案,通过过滤Web流量和提供高级威胁防护来增强网络安全性。

FortiSwitch Manager使网络管理员能够简化非FortiGate管理的FortiSwitch部署的复杂性。

FortiVoice是一个强大的通信解决方案,集成了语音、会议和消息服务,以增强业务协作和生产力。

FortiWeb是一个Web应用程序防火墙(WAF),保护Web应用程序和API免受针对已知和未知漏洞的攻击,并帮助维护法规合规性。

成功利用这些漏洞中最严重的漏洞可能允许在受影响服务帐户的上下文中执行远程代码。根据与服务帐户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。配置为在系统上具有较少用户权限的服务帐户可能比具有管理用户权限的服务帐户受影响较小。

威胁情报

目前没有报告表明这些漏洞在野外被利用。

受影响系统

  • FortiAnalyzer 6.2.0 至 6.2.13
  • FortiAnalyzer 6.4.0 至 6.4.14
  • FortiAnalyzer 7.0.0 至 7.0.11
  • FortiAnalyzer 7.0.0 至 7.0.13
  • FortiAnalyzer 7.2.0 至 7.2.4
  • FortiAnalyzer 7.2.0 至 7.2.8
  • FortiAnalyzer 7.4.0 至 7.4.2
  • FortiAnalyzer 7.4.0 至 7.4.5
  • FortiAnalyzer 7.6.0 至 7.6.1
  • FortiClientEMS 7.2.1 至 7.2.8
  • FortiClientEMS 7.4.0 至 7.4.1
  • FortiIsolator 2.4.3 至 2.4.6
  • FortiManager 6.2.0 至 6.2.13
  • FortiManager 6.4.0 至 6.4.14
  • FortiManager 7.0.0 至 7.0.11
  • FortiManager 7.0.0 至 7.0.13
  • FortiManager 7.2.0 至 7.2.4
  • FortiManager 7.2.0 至 7.2.8
  • FortiManager 7.4.0 至 7.4.2
  • FortiManager 7.4.0 至 7.4.5
  • FortiManager 7.6.0 至 7.6.1
  • FortiOS 6.2.0 至 6.2.16
  • FortiOS 6.4 所有版本
  • FortiOS 7.0 所有版本
  • FortiOS 7.0.0 至 7.0.15
  • FortiOS 7.0.1 至 7.0.12
  • FortiOS 7.2 所有版本
  • FortiOS 7.4 所有版本
  • FortiProxy 2.0 所有版本
  • FortiSwitch
  • FortiSwitch 6.4.0 至 6.4.14
  • FortiSwitch 7.0.0 至 7.0.10
  • FortiSwitch 7.2.0 至 7.2.8
  • FortiSwitch 7.4.0 至 7.4.4
  • FortiSwitch 7.6.0
  • FortiVoice 6.0 所有版本
  • FortiVoice 6.4.0 至 6.4.8
  • FortiVoice 7.0.0 至 7.0.2
  • FortiWeb 7.0 所有版本
  • FortiWeb 7.2 所有版本
  • FortiWeb 7.4.0 至 7.4.2
  • FortiWeb 7.4.0 至 7.4.6
  • FortiWeb 7.6.0 至 7.6.2

风险等级

政府实体:

  • 大型和中型政府实体:高
  • 小型政府实体:中

企业:

  • 大型和中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术摘要

在Fortinet产品中发现多个漏洞,其中最严重的漏洞可能允许远程代码执行。漏洞详情如下:

战术:初始访问(TA0001) 技术:利用面向公众的应用程序(T1190)

  • FortiSwitch GUI中存在未经验证的密码更改漏洞[CWE-620],可能允许远程未经身份验证的攻击者通过特制请求修改管理员密码。(CVE-2024-48887)
  • FortiIsolator中存在操作系统命令中使用的特殊元素的不当中和(‘OS命令注入’)漏洞[CWE-78],可能允许具有超级管理员配置文件和CLI访问权限的特权攻击者通过特制HTTP请求执行未经授权的代码。(CVE-2024-54024)
  • FortiOS、FortiProxy、FortiManager、FortiAnalyzer、FortiVoice和FortiWeb中存在通信通道到预期端点的不当限制漏洞[CWE-923],可能允许中间人位置的未经身份验证的攻击者通过拦截管理设备(FortiCloud服务器和/或在某些条件下的FortiManager)与受管设备之间的FGFM身份验证请求来冒充管理设备。(CVE-2024-26013、CVE-2024-50565)

较低严重性漏洞详情:

  • FortiIsolator CLI中存在操作系统命令中使用的特殊元素的不当中和(‘OS命令注入’)漏洞[CWE-78],可能允许特权攻击者通过特制CLI请求执行未经授权的代码或命令。(CVE-2024-54025)
  • FortiManager和FortiAnalyzer中存在日志输出中和不当漏洞[CWE-117],可能允许未经身份验证的远程攻击者通过特制登录请求污染日志。(CVE-2024-52962)
  • FortiOS中存在凭据保护不足[CWE-522]漏洞,可能允许特权身份验证攻击者通过将FortiOS配置中的LDAP服务器IP地址修改为指向恶意攻击者控制的服务器来检索LDAP凭据。(CVE-2024-32122)
  • FortiWeb小部件仪表板中存在不正确的用户管理漏洞[CWE-286],可能允许具有至少只读管理员权限的身份验证攻击者通过特制请求对其他管理员的仪表板执行操作。(CVE-2024-46671)
  • FortiClient EMS中存在Web页面生成期间输入中和不当(‘跨站脚本’)[CWE-79]漏洞,可能允许EMS管理员发送包含JavaScript代码的消息。(CVE-2025-22855)
  • FortiWeb端点中存在路径名到受限目录的限制不当(‘路径遍历’)漏洞[CWE-22],可能允许经过身份验证的管理员通过特制请求访问和修改文件系统。(CVE-2025-25254)
  • FortiOS和FortiProxy SSLVPN webmode中存在多个潜在问题,包括未初始化资源的使用[CWE-908]和过度迭代[CWE-834],可能允许VPN用户通过特制请求破坏内存,可能导致代码或命令执行。(CVE-2023-37930)

成功利用这些漏洞可能允许攻击者在系统上下文中执行远程代码。根据与系统关联的权限,攻击者可以安装程序;查看、更改或删除数据。

建议措施

我们建议采取以下行动:

  • 在经过适当测试后立即将Fortinet提供的适当更新应用于易受攻击的系统。(M1051:更新软件)

  • 保障措施7.1:建立和维护漏洞管理流程:为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

  • 保障措施7.2:建立和维护修复流程:建立和维护基于风险的修复策略,记录在修复流程中,每月或更频繁地进行审查。

  • 保障措施7.4:执行自动化应用程序补丁管理:通过每月或更频繁的自动化补丁管理在企业资产上执行应用程序更新。

  • 保障措施7.5:执行内部企业资产的自动化漏洞扫描:每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。

  • 保障措施7.7:修复检测到的漏洞:根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。

  • 保障措施12.1:确保网络基础设施是最新的:确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。

  • 保障措施18.1:建立和维护渗透测试计划:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围,如网络、Web应用程序、应用程序编程接口(API)、托管服务和物理场所控制;频率;限制,如可接受的时间和排除的攻击类型;联系点信息;修复,如发现将如何在内部路由;以及回顾性要求。

  • 保障措施18.2:执行定期外部渗透测试:根据计划要求执行定期外部渗透测试,不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是白盒或黑盒。

  • 保障措施18.3:修复渗透测试发现:根据企业的修复范围和优先级策略修复渗透测试发现。

  • 对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权帐户管理)

  • 保障措施4.7:管理企业资产和软件上的默认帐户:管理企业资产和软件上的默认帐户,如root、administrator和其他预配置的供应商帐户。示例实现可以包括:禁用默认帐户或使其无法使用。

  • 保障措施5.5:建立和维护服务帐户清单:建立和维护服务帐户清单。清单至少必须包含部门所有者、审查日期和目的。按照最少每季度或更频繁的重复计划执行服务帐户审查,以验证所有活动帐户都已授权。

  • 使用漏洞扫描来查找可能可利用的软件漏洞并进行修复。(M1016:漏洞扫描)

  • 保障措施16.13:执行应用程序渗透测试:执行应用程序渗透测试。对于关键应用程序,经过身份验证的渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员的技能来手动操作应用程序作为经过身份验证和未经身份验证的用户。

  • 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次