首页 > 业界 > 关键词  > Fortinet最新资讯  > 正文

​Fortinet安全警告:FortiManager 发现严重漏洞,已遭恶意利用

2024-10-24 17:51 · 稿源:站长之家

Fortinet确认了其 FortiManager 产品中的一个严重安全漏洞,编号为 CVE-2024-47575。这一漏洞的严重程度相当高,CVSS 评分高达9.8,甚至被称为 “FortiJump”。漏洞主要存在于 FortiGate 与 FortiManager 之间的 FGFM 协议中。

网络安全 隐私 (2)

图源备注:图片由AI生成,图片授权服务商Midjourney

Fortinet在周三发布的公告中指出,这个漏洞属于 “缺少关键功能的认证” 问题,允许远程未经身份验证的攻击者通过特殊构造的请求执行任意代码或命令。受影响的 FortiManager 版本包括7.x 和6.x 系列,以及 FortiManager Cloud 的7.x 和6.x 版本。此外,某些老旧的 FortiAnalyzer 型号如1000E、1000F、2000E 等也受到影响,只要其有启用 fgfm 服务的接口,并且符合特定配置。

为了应对这一漏洞,Fortinet提供了三种应急措施,具体取决于用户当前安装的 FortiManager 版本。对于7.0.12及以上、7.2.5及以上和7.4.3及以上版本,建议阻止未知设备尝试注册。而对于7.2.0及以上版本,建议添加本地策略,仅允许特定 IP 地址的 FortiGate 设备连接。此外,对于7.2.2及以上、7.4.0及以上和7.6.0及以上版本,建议使用自定义证书。

根据 runZero 的分析,成功利用该漏洞的攻击者需要拥有有效的 Fortinet 设备证书,而这些证书可以从已有的 Fortinet 设备中获取并加以重用。攻击者通过自动化脚本从 FortiManager 中提取各种文件,包括管理设备的 IP 地址、凭证和配置文件。不过,目前没有证据表明该漏洞被用于部署恶意软件或后门,数据库或连接也未被篡改。

随着这一漏洞的曝光,美国网络安全和基础设施安全局(CISA)已将其列入已知利用漏洞(KEV)目录,要求联邦机构在2024年11月13日之前应用修复措施。Fortinet在与 The Hacker News 的交流中表示,他们在发现漏洞后迅速向客户传达了关键信息和资源,并发布了相应的公共公告,呼吁用户按照指导实施应急措施和修复。

划重点:

1. ⚠️ Fortinet确认 FortiManager 存在严重安全漏洞,允许攻击者执行任意代码。

2. 🛠️ Fortinet提供三种针对不同版本的应急措施,建议用户尽快实施。

3. 📅 CISA 已将该漏洞列入已知利用漏洞目录,联邦机构需在2024年11月前修复。

举报

  • 相关推荐
  • 声网 Native RTC SDK 4.5.0 上线 视频体验显著提升

    声网NativeRTCSDK4.5.0版本已正式上线官网,4.5.0SDK新增了一系列视频特性,例如,新增声网自研美颜,支持美妆、美型等特效;设置视频渲染帧率,降低性能消耗;支持URL拉流播放,设置视频帧的色彩属性;同时,该版本还进一步优化了秀场直播的场景体验,提升了首帧出图体验和弱网流畅度体验,详情如下。新增多项视频特性视频体验显著提升为了进一步提升视频场景下的用户体验,4.5.0SDK从美颜、滤镜、视频帧率、视频大小流等多个维度进行了更新,具体包含以下方面:新增声网自研美颜,支持美型、美妆特效:4.5.0SDK中新增了声网自研的美颜组件,支持美型、美妆两大特效,美型:使用预设模板各部位微调,实现微整形效果。除了以上信息,4.5.0SDK还有更多新增特性与优化,例如视频色彩空间设置、滤镜设置、虚拟背景算法优化等等,如您想进一步了解与咨询、可访问声网官网的文档中心,查看发版说明。

  • Sam Altman:明年OpenAI将迈入AI系统时代

    GPT-4之后,明年的OpenAI在憋什么大招?OpenAI的护城河在哪?AIAgent的价值在哪?众多老员工“出走”,OpenAI会选择更有信念感和活力的年轻人吗?11月4日,OpenAICEOSamAltman在“TheTwentyMinuteVC”播客中回答了这些问题,他明确表示,提升推理能力一直是OpenAI的核心战略。当播客主持人、21VC创始人HarryStebbings问到OpenAI还能给AI创业者留下哪些机会时,Altman认为,AI创业如果还要执着于解决模型不足的问题,那么这个业务模式将随着OpenAI模型的升级不再具备竞争力,创业者应该去构建能随着模型变强受益的业务,这将是一个巨大的机会。从长远来看,科技进步当然会给社会带来巨大的变化,但在五到十年内不会那么迅速地反映出来。

  • 惊喜!OpenAI第3天产品会很炸裂,Sam Altman非常兴奋

    本周二凌晨2点将迎来OpenAI第三场产品直播发布会,会相当的Surprise。就连OpenAI首席执行官SamAltman都特意发文:“我对将在第三天发布的东西感到非常、非常兴奋。要是再玩烽火戏诸侯,可是要凉了用户的心了。

  • 中国工厂,在TikTok出道

    谁能拒绝一个上来就喊你boss的人呢?近期,一则火爆外网的短视频被搬运回了国内。一名身穿白T与粉红长裤的中年女性,热情地跟屏幕前的观众打招呼:“Helloboss!”通过带有浓厚地域口音的“散装英语”,人们很快意识到这是位东北大姐。也许不久的将来,在拥有强大传播能量的短视频助力下,中国工厂在海外会被重塑为全新的面貌到那时,中国企业的出海路也将越走越宽。

  • 美国双11,TikTok放弃和Temu拼低价

    字节麾下的TikTok试图绕开拼多多海外版Temu的低价优势,踩下了“正面硬刚”的急刹车。如同国内抖音上线比价频道、对标拼多多做爆款秒杀,TikTok全托管作为TikTokShop的低价频道,挑起了和拼多多海外版Temu比价的大梁。无论是TikTok是Temu,他们都难以预料,流量会在哪一环被截停,卷出海外,他们都有不少的功课要做。

  • 所有AI应用的尽头,是MBTI

    你或许听过卡学历、卡年龄甚至卡颜值,但你听过AI应用卡MBTI吗?MBTI,当代年轻人的星座,以测试的方式将性格划分成了4种维度、16种类型,成为了近两年时兴的“社交货币”,也渗入了AI应用圈。比起纠结MBTI本身的科学性,不如着眼于它背后折射出的用户洞察,这才是让产品走得长远的关键。

  • 谷歌利用 AI 发现 20 年前的软件漏洞:「模糊测试」改写安游戏规则

    站长之家11月23日消息:谷歌近日通过AI程序发现了一个隐藏了二十年的开源软件漏洞。谷歌在周三的一篇博客文章中表示,借助类似ChatGPT的AI工具,公司共识别出了26个漏洞,其中包括一个在OpenSSL中潜伏了二十年的漏洞。本月早些时候,谷歌宣布,BigSleep已成功发现SQLite中一个此前未知且可利用的漏洞。

  • VMware重磅官宣!Workstation和Fusion彻底部免费:支持商用

    今天VMware宣布,其桌面虚拟化产品VMwareWorkstation和VMwareFusion将对所有用户彻底免费,包括商业、教育和个人用户。这一决策标志着VMwareWorkstationPro和FusionPro的付费订阅模式的结束,现在所有人都可以无成本地使用这些工具。VMware还承诺,将继续投资于新功能和性能改进,确保产品的稳定性和质量,并以用户为中心进行优化,以提供更大的价值。

  • 猫猫中文说唱火爆TikTok,神秘东方AI硬控老外

    “让每只小猫都唱上中文Rap!”来自东方的神秘力量,最近又给了老外亿点点震撼。“老天保佑金山银山前路有,老天教唆别管江湖龙虎斗。从AI猫猫剧情号到AI猫猫说唱,可以看到新技术降低创作门槛的同时,在很大程度上激发了UGC创作者的活力,并最终反哺平台推动内容生态不断进化。

  • 内外兼修,OnStin泰帝盾双重焕活青春之力

    随着健康理念的普及和人们生活水平的提高,越来越多的人开始关注如何延长寿命和提高生活质量。寿命的延长不仅仅是因为医学技术的进步,更重要的是人们对健康的追求日益提高。这正是OnStin泰帝盾不断前行的动力,也是我们能为更多人带来美丽与健康的坚定信念。