威胁者据称出售针对 FortiOS 的 FortiGate API 漏洞工具

据报道，一名威胁行为者在暗网市场上出售了一款复杂的 FortiGate API 漏洞利用工具，引发了网络安全社区的极大担忧。

该工具的售价为 12,000 美元，并带有托管服务以促进交易，据称它通过利用 170 多个不安全的 API 端点来针对 Fortinet 的 FortiOS 系统，为攻击者提供了从受影响的设备中收集大量敏感信息的方法。

涉嫌 API 漏洞利用工具索赔

根据这些披露，该漏洞利用具有一个自动化模块，能够从运行易受攻击的 FortiOS 版本（特别是 7.2 及更低版本）的各种 FortiGate 防火墙设备中扫描和提取数据，但也确认会影响 6.x 系列的早期版本。

它利用多线程技术进行快速、批量的数据提取，使攻击者能够同时攻击多个目标，并在单个作中转储 150 多个独特的配置文件。

据称，该漏洞利用提供了对高度敏感和任务关键型配置数据的访问。据称可检索的信息类型包括防火墙策略、VPN 会话日志、用户帐户凭据、SSL 门户设置、SNMP 社区和加密密钥，以及更深奥的网络设置，包括 DNS、高可用性集群和 NTP 服务器详细信息。

值得注意的是，该工具声称可以绕过传统身份验证，只需要知道设备的 IP 地址和 API 端口，通常暴露在 443 或 10443 处，而不需要用户名或密码。

此类未经授权的访问的影响可能很严重，会暴露组织网络布局、管理员密码哈希、备份配置文件，甚至 SAML、LDAP、RADIUS 或 VPN 会话的实时身份验证令牌，从而为企业环境中的横向移动或权限提升铺平道路。

安全分析师警告说，这种漏洞的出现不仅增加了机会主义攻击的风险，而且还降低了经验不足的恶意行为者进行企业级漏洞的技术门槛。

该工具的自动化，再加上对结构化数据输出和隐蔽 HTTP 标头作的支持，将相对容易地实现大规模利用活动和有针对性的间谍活动。

目前，Fortinet 尚未确认该漏洞的真实性，但敦促运行受影响 FortiOS 版本的组织审查其安全状况，限制未经授权的 API 访问，并在可用时立即应用固件补丁。

这些披露凸显了网络犯罪市场中高级漏洞利用工具商品化所带来的风险越来越大，这让人们认识到在企业防御策略中保持警惕、稳健漏洞管理和快速部署安全更新的重要性。