核心内容摘要
5个维度掌控RevokeMsgPatcher:PC版微信/QQ消息防撤回终极方案
Fortinet公司已确认尽管在12月发布了补丁但攻击者仍在积极绕过针对FortiCloud单点登录SSO认证关键漏洞的修复程序。
此前有客户报告称在已完全更新的设备上发现了可疑登录活动。
新攻击路径被发现在最新发布的安全公告中Fortinet表示已识别出一种新的攻击路径攻击者正在利用该路径滥用FortiOS中基于SAML的SSO功能即使在已经应用了厂商早期修复程序的系统上也是如此。
本周早些时候有报告显示FortiGate防火墙通过被入侵的SSO账户被悄悄重新配置攻击者修改防火墙设置、创建后门管理员用户并窃取配置文件。
Arctic Wolf安全公司表示这轮攻击活动大约在1月15日开始攻击者在几秒钟内就创建了支持VPN的账户并窃取防火墙配置文件。
这种行为强烈表明使用了自动化工具而非人工操作。
该安全公司补充说这些活动与他们在12月观察到的事件非常相似当时正值Fortinet披露了据称已修补的SSO认证绕过漏洞。
官方回应与调查进展Fortinet首席信息安全官Carl Windsor表示最近少数客户报告了在其设备上发生的意外登录活动这与之前的问题非常相似。
然而在过去24小时内我们发现了多个案例其中被攻击的设备在攻击时已完全升级到最新版本这表明存在新的攻击路径。
Windsor说Fortinet产品安全团队已经识别出了这个问题公司正在制定修复方案来解决这一情况。
一旦修复范围和时间表确定将发布相关公告。
虽然迄今为止只观察到通过FortiCloud SSO的攻击利用但Windsor警告说潜在的安全弱点并不仅限于该服务。
需要注意的是虽然目前只观察到FortiCloud SSO的攻击利用但这个问题适用于所有SAML SSO实现。
这一细节无疑会让负责保护这些设备安全的人员感到担忧。
安全建议与后续措施Fortinet尚未发布替代攻击路径的技术细节但公司表示调查仍在进行中。
与此同时公司建议客户审查认证日志中的任何异常登录活动限制管理界面的暴露并密切监控管理员账户的变更。
目前Fortinet客户只能监控日志并等待另一个修复程序这次希望能真正关闭安全漏洞。
QAQ1FortiGate SSO漏洞具体是什么问题A这是FortiCloud单点登录SSO认证中的一个关键安全漏洞攻击者可以利用该漏洞绕过正常的身份验证流程获得对FortiGate防火墙的未授权访问。
即使在12月发布补丁后攻击者仍发现了新的攻击路径来利用这个漏洞。
Q2攻击者利用这个漏洞能做什么A攻击者可以通过被入侵的SSO账户悄悄重新配置FortiGate防火墙包括修改防火墙设置、创建后门管理员用户、窃取配置文件以及创建支持VPN的账户。
整个攻击过程可在几秒钟内完成显示出高度自动化特征。
Q3如何防护FortiGate SSO漏洞攻击AFortinet建议客户审查认证日志中的任何异常登录活动限制管理界面的暴露范围密切监控管理员账户的变更情况。
同时需要注意这个问题不仅影响FortiCloud SSO还适用于所有SAML SSO实现。