Fortinet FortiOS/FortiProxy 认证绕过漏洞

Fortinet FortiOS和Fortinet FortiProxy都是美国飞塔（Fortinet）公司的产品。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护，可以保护员工免受网络攻击。FortiProxy有助于减少带宽需求，并通过内容和视频缓存优化网络。 Fortinet FortiOS和FortiProxy存在安全漏洞，该漏洞源于包含一个身份验证绕过漏洞。远程攻击者利用该漏洞可以通过对Node.js websocket模块的精心设计请求获取超级管理员权限。

鉴权绕过漏洞可能导致攻击者获取敏感信息，如用户数据、商业机密等；对系统数据进行未授权的修改或删除；执行恶意操作，如安装后门、发起进一步的网络攻击；甚至可能导致整个系统或网络的瘫痪。

一、临时缓解方案

1. 立即关闭防火墙管理接口对公网的访问
   将FortiGate/FortiProxy的管理端口（HTTPS/SSH/CLI 等）限制在受信任的内部网络或专用管理网络，避免直接暴露在互联网上。
   使用防火墙或安全策略过滤管理端口仅允许特定 IP 地址访问。
2. 监控可疑账号和配置变更
   检查系统日志（logdesc="Admin login successful" 等）中是否存在来源于可疑 IP（如 127.0.0.1、8.8.8.8 等）且使用 jsconsole UI 的异常登录记录。
   监控是否存在异常的管理员账号（如随机字母数字组合）或 SSL VPN 配置变更。
3. 排查可疑文件或后门
   若怀疑设备已被攻陷，可导出配置并对关键配置及文件系统进行完整性校验；如有异常，建议联系 Fortinet 支持或专业安全团队协助调查。
4. 变更所有管理员账户及 VPN 用户密码
   如果怀疑攻击者已获取管理凭据，应立即重置所有本地管理员密码、撤销旧证书、更新 API 密钥等。
   二、升级修复方案
5. 官方补丁升级
   Fortinet 在 2025 年 1 月 14 日发布了安全更新补丁，修复了该认证绕过漏洞（CVE-2024-55591）。请尽快升级至安全的 FortiOS/FortiProxy 版本，具体补丁下载及安装步骤可参考 Fortinet 官方安全公告或联系厂商技术支持。
6. 设备全面审计和恢复
   如果已有确凿证据表明设备被入侵，Fortinet 官方建议对受影响的设备进行出厂重置或全新部署，从干净镜像重新安装系统并导入安全配置文件；随后再进行完整性校验，以确保无后门或篡改残留。