Fortinet 已解决其无线 LAN 管理器 (FortiWLM) 中的严重漏洞,该漏洞可能导致未经身份验证的远程代码执行 (RCE) 和敏感信息泄露。补丁发布地址 CVE-2023-34990 和 CVE-2023-48782,当一起利用时,可以授予攻击者未经授权的访问权限。专家强调客户升级系统的紧迫性。
Fortinet 修补无线 LAN 管理器中的关键漏洞
已发现的漏洞 CVE-2023-34990 的 CVSS 评分为 9.6,于 2023 年 3 月首次披露。它被归类为“未经身份验证的有限文件读取漏洞”。 Horizon3.ai 的安全研究员 Zach Hanley 报告称,该漏洞源于对请求参数的输入验证不充分。此缺陷允许攻击者遍历目录并访问系统上的任何日志文件,从而可能泄露用户会话 ID 等敏感信息。这些日志在 FortiWLM 中特别冗长,增加了被利用的风险。
国家漏洞数据库 (NVD) 描述了此漏洞如何导致通过特制的 Web 请求执行未经授权的代码。受影响的 FortiWLM 版本包括 8.6.0 至 8.6.5(已在 8.6.6 及更高版本中解决)以及 8.5.0 至 8.5.4(已在 8.5.5 或更高版本中修复)。鉴于 Fortinet 作为网络攻击目标的突出地位,快速修补的必要性怎么强调也不为过。
BADBOX 僵尸网络感染全球超过 192,000 台 Android 设备
除了 CVE-2023-34990 之外,一个单独的漏洞 CVE-2023-48782 在漏洞利用链中也发挥着关键作用。这个经过身份验证的命令注入缺陷的 CVSS 评分为 8.8,并于去年修复。 Hanley 指出,与未经身份验证的漏洞结合使用时,攻击者可以通过特定端点注入命令,以 root 权限执行恶意命令,从而进一步危害系统。
卡巴斯基有 报道 持续利用 Fortinet 的 FortiClient EMS 中的另一个漏洞,特别是 CVE-2023-48788,其 CVSS 得分为 9.3。此 SQL 注入漏洞允许攻击者发送特制的数据包,从而使他们能够执行未经授权的代码。该网络安全公司记录了 2024 年 10 月发生的一次针对托管 FortiClient EMS 的 Windows 服务器的攻击。该攻击利用开放端口来控制服务器,从而导致安装 AnyDesk 和 ScreenConnect 等远程桌面软件。
据报道,在最初的漏洞发生后,攻击者上传了额外的有效负载,用于横向移动、凭证收集以及在受感染的系统上建立持久性。此活动中使用的工具包括用于密码恢复和网络扫描的恶意软件,例如 Mimikatz 和 netscan.exe。据称,该活动针对多个国家的多家公司,揭示了这些网络威胁的全球影响力和复杂性。
卡巴斯基发现了进一步将 CVE-2023-48788 武器化的尝试,包括从受感染的服务器执行 PowerShell 脚本以收集其他易受攻击目标的响应。这项工作指出了使用 Fortinet 产品的组织不断发展的攻击方法和持续的风险。 Forescout 今年早些时候的初步披露 报道 类似的利用模式涉及相同的漏洞来提供远程访问工具。
使用 Fortinet 系统的组织必须优先考虑升级和修补其设备,以减轻与这些漏洞相关的风险。目前尚不清楚这些漏洞在全球范围内被利用的程度,因此管理员必须保持警惕。
特色图片来源: 凯雷姆·葛兰/中途
