Fortinet FortiSwitch – 未经验证的密码更改漏洞 (CVE-2024-48887)
摘要
2025年4月8日,Fortinet披露了一个影响多个FortiSwitch版本的关键漏洞,跟踪编号为CVE-2024-48887。该漏洞是FortiSwitch GUI中的未经验证密码更改漏洞,允许未经认证的攻击者通过特制HTTP请求在底层系统上执行任意命令。具体而言,远程攻击者可在无需认证的情况下更改管理员密码,从而可能控制受影响设备。该问题获得CVSSv3评分9.3分,被标记为关键安全风险,特别是对于依赖FortiSwitch的网络基础设施环境。
Fortinet已发布补丁,并敦促所有客户立即升级。此漏洞利用不需要认证,横向移动和未授权访问的潜力使其在当前威胁环境中构成关键风险。
受影响系统和应用
根据Fortinet的PSIRT公告FG-IR-24-435,以下版本受到影响:
- FortiSwitch 7.6.0
- FortiSwitch 7.4.0 至 7.4.4
- FortiSwitch 7.2.0 至 7.2.8
- FortiSwitch 7.0.0 至 7.0.10
- FortiSwitch 6.4.0 至 6.4.14
Fortinet已发布修复版本以解决此问题:
- 升级至 FortiSwitch 7.6.1 或更高版本
- 升级至 FortiSwitch 7.4.5 或更高版本
- 升级至 FortiSwitch 7.2.9 或更高版本
- 升级至 FortiSwitch 7.0.11 或更高版本
- 升级至 FortiSwitch 6.4.15 或更高版本
技术细节 / 攻击概述
该漏洞源于Web GUI的HTTP请求处理逻辑中的输入清理不当。未经认证的用户可通过发送包含命令注入字符串的特制HTTP请求来利用此缺陷。这可能允许攻击者在无需事先认证的情况下更改管理员凭据或执行系统命令。
临时解决方法和缓解措施
Kudelski Security建议在应用补丁前采取以下缓解措施:
- 尽快应用供应商提供的安全补丁
- 实施网络分段以限制对管理接口的直接访问
- 使用多因素认证(MFA)等额外认证机制
- 监控管理员密码更改日志
- 限制来自不受信任或外部网络的GUI访问
没有任何配置更改能完全缓解风险——升级到修复版本是唯一完整的解决方案。
检测指南
安全团队应实施以下检测策略:
- 审查Web GUI访问日志中的异常请求或不寻常用户代理
- 监控从GUI进程发起的意外系统命令或脚本执行
- 检查源自未认证会话的密码更改活动
网络融合中心(CFC)正在采取的措施
- 网络融合中心(CFC) 正在主动监控漏洞利用尝试并评估威胁情报以获取入侵指标(IOC)
- Tenable和Qualys的漏洞插件尚未发布,但正在跟踪中
- CFC目前正在调查是否可以部署威胁狩猎规则
目前,没有证据表明存在公开的概念验证(PoC),也没有确认在野利用。