投稿
威胁发起者 Hunt3rkill3rs1 正在暗网论坛上提供 CVE-2024-21762 漏洞利用销售。该漏洞旨在利用 CVE-2024-21762 漏洞,影响 Fortinet 的 FortiOS 和 FortiProxy 系统。
此漏洞利用的是 SSL VPN 中的越界写入漏洞,通过利用精心设计的请求来实现未经授权的代码或命令执行,最终为受感染系统上的远程代码执行 (RCE) 铺平道路。
CVE-2024-21762 针对 FortiOS 的 SSL VPN 功能的漏洞利用
威胁行为者在BreachForums上发布的帖子被称为“Hunt3rkill3rs1 的 CVE-2024-21762 漏洞利用”,发布于 2024 年 3 月 23 日。它揭示了FortiOS中的严重安全缺陷,特别是与 SSL VPN 相关的缺陷。
FortiGate此前曾在2月份发布过更新,解决了各种漏洞,其中就有这个未经授权的越界写入漏洞。漏洞销售帖子暗示了情况的严重性,并指出该漏洞有可能在野外被利用。FortiGuard表示:“这可能会在野外被利用” 。
漏洞销售背后的个人 Hunt3rkill3rs1 详细介绍了利用此漏洞的过程,并深入了解了用于实现远程代码执行的方法。该帖子包括一个概念验证 (PoC),以展示该漏洞的功效,并附有一个链接,允许感兴趣的各方以 315 美元的比特币购买该漏洞。
PoC技术分析
在仔细检查所提供的 PoC 代码后,Cyber Express 发现了一个专门用于利用CVE-2024-21762 的Python 脚本,该漏洞影响 Fortinet 的 FortiOS 和 FortiProxy 系统。 该脚本精心策划了针对特定 IP 地址和端口的 HTTP 请求,旨在利用该漏洞并在目标系统上执行任意代码。
它包含用于基本功能的模块,例如套接字创建和有效负载传输,以及负责生成和调度漏洞利用有效负载的主要功能。脚本中的注释和占位符暗示了其对目标系统进行未经授权的访问或控制的可能性。
Cyber Express已联系该组织,以验证 CVE-2024-21762 漏洞利用销售的真实性。然而,截至撰写本文时,尚未收到任何官方声明或回应,因此 Hunt3rkill3rs1 的说法目前尚未得到证实。
CVE-2024-21762 通报
此事件是在 Fortinet 于 2024 年 2 月 8 日披露的事件之后发生的,该事件揭示了支撑 Fortigate SSL VPN 的操作系统 FortiOS 中的多个关键漏洞。这些漏洞包括 CVE-2024-21762,据 Fortinet 称,该漏洞可能允许远程攻击者通过精心设计的 HTTP 请求在 Fortinet SSL VPN 上执行任意代码或命令,从而构成严重威胁。
值得注意的是,截至 2024 年 2 月 9 日,美国网络安全和基础设施安全局 (CISA)将 CVE-2024-21762 列入其已知利用的漏洞 (KEV) 列表,确认了野外利用的情况。受 CVE-2024-21762 影响的产品包括各种版本的 FortiOS 和 FortiProxy。虽然 Fortinet 最初将 FortiProxy 从受影响的产品列表中删除,但随后的更新承认了其漏洞。
Fortinet 提供了缓解指南,建议修复版本来解决 CVE-2024-21762。建议客户升级到以下版本或更高版本:
- FortiOS:7.4.3 或更高版本、7.2.7 或更高版本、7.0.14 或更高版本、6.4.15 或更高版本、6.2.16 或更高版本。
- FortiProxy:7.4.3 或更高版本、7.2.9 或更高版本、7.0.15 或更高版本、2.0.14 或更高版本。
此外,我们鼓励客户禁用 SSL VPN 作为解决方法,并警告称禁用 Web 模式不被视为可行的解决方案。
