近期,FortiGate 防火牆的一個零日漏洞(CVE-2024-55591)引發了網路安全領域的廣泛關注。美國網路安全與基礎設施安全局(CISA)發布緊急指令,要求所有聯邦機構在 1 月 21 日之前完成漏洞修補。這一命令顯示了漏洞的嚴重性,並對網路安全團隊提出了更高的應對要求。
漏洞概述與威脅特徵
Fortinet 在公告中確認,該漏洞已在現實中被積極利用。攻擊者利用此漏洞創建了管理員賬戶並修改防火牆政策設置,從而進一步侵入目標網路環境。這些攻擊活動具有以下顯著特徵:
- 進階存取權限:攻擊者利用漏洞獲得管理員級別的控制,從而改變防火牆行為,為後續攻擊創造條件。
- 快速擴展的攻擊面:Arctic Wolf 提供的報告顯示,此漏洞已在暴露於公共互聯網的 FortiGate 設備中被利用,且零日漏洞的可能性非常高。
- 隨機目標攻擊:攻擊行為並未針對特定行業或規模的組織,顯示出攻擊者的機會主義特徵,通過掃描和自動化工具選擇攻擊目標。
網路安全公司watchTowr 的執行長警告,這一漏洞是「典型的高級持續性威脅(APT)組織利用的零日漏洞」,其高風險性應引起所有組織的重視。
防禦建議與應對措施
網路安全團隊應立即採取行動,重點執行以下應對策略:
快速部署修補:按照 Fortinet 的公告指導,確保設備在最短時間內完成修補。
全面檢查入侵跡象:根據公告中提供的 IOC(攻擊指標),對防火牆日誌和設備行為進行排查。
隔離受影響設備:對存在異常行為的設備進行隔離,以防止進一步橫向滲透。
加強暴露面管理:確保所有設備的管理界面和 API 僅限於內部訪問,並禁止未經授權的外部連接。
舊漏洞再現與安全壓力
除了 CVE-2024-55591,2022 年 FortiGate 防火牆的一個舊漏洞(CVE-2022-40684)再次成為焦點。據知名安全研究員 Kevin Beaumont 表示,一組駭客最近洩露了約 15,000 台設備的完整配置數據,包括用戶名、密碼、防火牆規則和管理憑證等。
即便早期完成了漏洞修補的組織,仍需檢查數據是否在攻擊中被盜,因為這些配置數據可能被滲透者在數年前獲取。
威脅分析建議:網路安全團隊應回溯修補記錄,確認設備是否在修補部署之前已被攻擊,並重新審查防火牆規則與配置的完整性。
微軟 Patch Tuesday 的影響
微軟在 2025 年首個 Patch Tuesday 中修補了 157 個漏洞,創下歷史記錄。值得關注的是,其中 8 個漏洞為零日漏洞,包括影響 Windows Hyper-V 的 CVE-2025-21333 和 CVE-2025-21334。這些漏洞對依賴 Hyper-V 的組織構成嚴重威脅,潛在影響包括:
- 獲取虛擬機訪問權限並篡改配置。
- 竊取敏感數據或憑證。
- 在網路內橫向移動,進一步攻擊其他系統。
CISA 強烈建議各個組織優先修補這兩個漏洞,尤其是針對數據中心、雲服務提供商和大型企業 IT 環境。
行動重點
網路安全專業人士需要同時應對多重威脅,以下是當前的行動重點:
- 優先修補 CVE-2024-55591 和 CVE-2025-21333 等高危漏洞。
- 密切監控防火牆及虛擬化平台的安全狀態,檢查是否存在異常登錄、配置更改等攻擊跡象。
- 強化內部與外部攻擊面的防護,限制設備的公共暴露。
透過及時回應和全面檢查,企業可有效降低漏洞帶來的安全風險,維護業務的穩定運行。