Fortinet公司已确认,尽管在12月发布了补丁,但攻击者仍在积极绕过针对FortiCloud单点登录(SSO)认证关键漏洞的修复程序。此前有客户报告称,在已完全更新的设备上发现了可疑登录活动。
新攻击路径被发现
在最新发布的安全公告中,Fortinet表示已识别出一种新的攻击路径,攻击者正在利用该路径滥用FortiOS中基于SAML的SSO功能,即使在已经应用了厂商早期修复程序的系统上也是如此。
本周早些时候有报告显示,FortiGate防火墙通过被入侵的SSO账户被悄悄重新配置,攻击者修改防火墙设置、创建后门管理员用户,并窃取配置文件。
Arctic Wolf安全公司表示,这轮攻击活动大约在1月15日开始,攻击者在几秒钟内就创建了支持VPN的账户并窃取防火墙配置文件。这种行为强烈表明使用了自动化工具,而非人工操作。该安全公司补充说,这些活动与他们在12月观察到的事件非常相似,当时正值Fortinet披露了据称已修补的SSO认证绕过漏洞。
官方回应与调查进展
Fortinet首席信息安全官Carl Windsor表示:"最近,少数客户报告了在其设备上发生的意外登录活动,这与之前的问题非常相似。然而,在过去24小时内,我们发现了多个案例,其中被攻击的设备在攻击时已完全升级到最新版本,这表明存在新的攻击路径。"
Windsor说:"Fortinet产品安全团队已经识别出了这个问题,公司正在制定修复方案来解决这一情况。一旦修复范围和时间表确定,将发布相关公告。"
虽然迄今为止只观察到通过FortiCloud SSO的攻击利用,但Windsor警告⚠️说,潜在的安全弱点并不仅限于该服务。"需要注意的是,虽然目前只观察到FortiCloud SSO的攻击利用,但这个问题适用于所有SAML SSO实现。"这一细节无疑会让负责保护这些设备安全的人员感到担忧。
安全建议与后续措施
Fortinet尚未发布替代攻击路径的技术细节,但公司表示调查仍在进行中。与此同时,公司建议客户审查认证日志中的任何异常登录活动,限制管理界面的暴露,并密切监控管理员账户的变更。
目前,Fortinet客户只能监控日志并等待另一个修复程序,这次希望能真正关闭安全漏洞。
Q&A
Q1:FortiGate SSO漏洞具体是什么问题?
A:这是FortiCloud单点登录(SSO)认证中的一个关键安全漏洞,攻击者可以利用该漏洞绕过正常的身份验证流程,获得对FortiGate防火墙的未授权访问。即使在12月发布补丁后,攻击者仍发现了新的攻击路径来利用这个漏洞。
Q2:攻击者利用这个漏洞能做什么?
A:攻击者可以通过被入侵的SSO账户悄悄重新配置FortiGate防火墙,包括修改防火墙设置、创建后门管理员用户、窃取配置文件,以及创建支持VPN的账户。整个攻击过程可在几秒钟内完成,显示出高度自动化特征。
Q3:如何防护FortiGate SSO漏洞攻击?
A:Fortinet建议客户审查认证日志中的任何异常登录活动,限制管理界面的暴露范围,密切监控管理员账户的变更情况。同时需要注意,这个问题不仅影响FortiCloud SSO,还适用于所有SAML SSO实现。
