CISA 警告 Fortinet 漏洞被攻擊利用;微軟釋出歷來最重磅修補更新

近期,FortiGate 防火牆的一個零日漏洞(CVE-2024-55591)引發了網路安全領域的廣泛關注。美國網路安全與基礎設施安全局(CISA)發布緊急指令,要求所有聯邦機構在 1 月 21 日之前完成漏洞修補。這一命令顯示了漏洞的嚴重性,並對網路安全團隊提出了更高的應對要求。

漏洞概述與威脅特徵

Fortinet 在公告中確認,該漏洞已在現實中被積極利用。攻擊者利用此漏洞創建了管理員賬戶並修改防火牆政策設置,從而進一步侵入目標網路環境。這些攻擊活動具有以下顯著特徵:

  • 進階存取權限:攻擊者利用漏洞獲得管理員級別的控制,從而改變防火牆行為,為後續攻擊創造條件。
  • 快速擴展的攻擊面:Arctic Wolf 提供的報告顯示,此漏洞已在暴露於公共互聯網的 FortiGate 設備中被利用,且零日漏洞的可能性非常高。
  • 隨機目標攻擊:攻擊行為並未針對特定行業或規模的組織,顯示出攻擊者的機會主義特徵,通過掃描和自動化工具選擇攻擊目標。

網路安全公司watchTowr 的執行長警告,這一漏洞是「典型的高級持續性威脅(APT)組織利用的零日漏洞」,其高風險性應引起所有組織的重視。

防禦建議與應對措施

網路安全團隊應立即採取行動,重點執行以下應對策略:

快速部署修補:按照 Fortinet 的公告指導,確保設備在最短時間內完成修補。

全面檢查入侵跡象:根據公告中提供的 IOC(攻擊指標),對防火牆日誌和設備行為進行排查。

隔離受影響設備:對存在異常行為的設備進行隔離,以防止進一步橫向滲透。

加強暴露面管理:確保所有設備的管理界面和 API 僅限於內部訪問,並禁止未經授權的外部連接。

舊漏洞再現與安全壓力

除了 CVE-2024-55591,2022 年 FortiGate 防火牆的一個舊漏洞(CVE-2022-40684)再次成為焦點。據知名安全研究員 Kevin Beaumont 表示,一組駭客最近洩露了約 15,000 台設備的完整配置數據,包括用戶名、密碼、防火牆規則和管理憑證等。

即便早期完成了漏洞修補的組織,仍需檢查數據是否在攻擊中被盜,因為這些配置數據可能被滲透者在數年前獲取。

威脅分析建議:網路安全團隊應回溯修補記錄,確認設備是否在修補部署之前已被攻擊,並重新審查防火牆規則與配置的完整性。

微軟 Patch Tuesday 的影響

微軟在 2025 年首個 Patch Tuesday 中修補了 157 個漏洞,創下歷史記錄。值得關注的是,其中 8 個漏洞為零日漏洞,包括影響 Windows Hyper-V 的 CVE-2025-21333 和 CVE-2025-21334。這些漏洞對依賴 Hyper-V 的組織構成嚴重威脅,潛在影響包括:

  • 獲取虛擬機訪問權限並篡改配置。
  • 竊取敏感數據或憑證。
  • 在網路內橫向移動,進一步攻擊其他系統。

CISA 強烈建議各個組織優先修補這兩個漏洞,尤其是針對數據中心、雲服務提供商和大型企業 IT 環境。

行動重點

網路安全專業人士需要同時應對多重威脅,以下是當前的行動重點:

  • 優先修補 CVE-2024-55591 和 CVE-2025-21333 等高危漏洞。
  • 密切監控防火牆及虛擬化平台的安全狀態,檢查是否存在異常登錄、配置更改等攻擊跡象。
  • 強化內部與外部攻擊面的防護,限制設備的公共暴露。

透過及時回應和全面檢查,企業可有效降低漏洞帶來的安全風險,維護業務的穩定運行。

美國CISA 下令聯邦機構修補被勒索軟體集團濫用的Exchange 伺服器漏洞

美國網路安全暨基礎設施安全局(CISA)在1月10日在其已知濫用資安漏洞(Known Exploited Vulnerabilities)清單中又增加了兩個漏洞

第一個漏洞為CVE-2022-41080, 屬於Exchange伺服器特權提升的漏洞,可與ProxyNotShell漏洞(CVE-2022-41082)連結起來實現遠端執行任意程式碼。根據總部位於德州的雲端服務業者 Rackspace一周前的證實,Play軟體集團利用它作為零時差漏洞來繞過Microsoft的ProxyNotShell URL 重寫緩解措施從而濫用網頁版郵件管理介面Outlook Web Access(OWA)來遠端執行任意程式碼來攻擊Exchange。資安公司CrowdStrike 將此漏洞利用手法稱為“OWASSRF”,在成功入侵後,駭客便利用遠端存取工具Plink、AnyDesk來維持存取,並在Exchange伺服器上執行反取證技術以試圖隱藏他們的擊行動,這可使其他網路犯罪分子更容易建立自己自訂義的漏洞利用程式或根據自己的目的調整 Play 勒索軟體的工具,從而增加了盡快更新和修補漏洞的緊迫性。

CISA建議擁有落地Exchange 伺服器的組織立即部署最新的 Exchange 安全更新或禁用網頁版郵件管理介面(OWA),直到他們可以應用 CVE-2022-41080 修補。

CISA 新增到其已知濫用資安漏洞清單中的第二個漏洞是Windows 進階本機程序呼叫(Advanced Local Procedure Call,ALPC)中的特權升級時差漏洞 ( CVE-2023-21674 ),被標記為已在攻擊中被利用,微軟在本月安全更新Patch Tuesday釋出修補,CISA下令聯邦機構必須在 1 月底之前完成修補。CISA 於 2021 年 11 月發布具有約束性作業指引:降低已知被開採漏洞的重大風險(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),為了聯邦民事執行機構 (Federal Civilian Executive Branch) 的網路免受添加已知濫用資安漏洞的侵害,可約束其在特定時間內完成修補。此次CISA給予 FCEB 機構三週的時間,直到 1 月 31 日,以修補這兩個安全漏洞並阻止針對其系統的潛在攻擊。CISA 警告說“這些類型的漏洞是惡意網路參與者的常見攻擊媒介,並對聯邦企業構成重大風險。

雖然該指令僅適用於美國聯邦機構,但 CISA 還強烈敦促所有組織修補這些漏洞以避免受到攻擊。自 BOD 22-01 指令發布以來,CISA 在其被在其已知濫用資安漏洞清單中增加了 800 多個安全漏洞,要求聯邦機構以更緊迫的時間表解決這些漏洞,以防止潛在的安全漏洞。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”