WatchGuard严重漏洞CVE-2024-6592和CVE-2024-6593

WatchGuard公司于1996年成立于美国的华盛顿西雅图，作为全球网络安全技术先驱为全球千万设备用户提供安全服务。

WatchGuard旨在保护网络电商企业并确保通信安全，以生产即插即用安全设备“Firebox” 和相应服务器安全软件而闻名。

一、基本情况

1997年，WatchGuard 安全公司在作为首家将应用层安全运用到系统，并且在2004年时发布可全面升级的整合安全网关。

2005年， WatchGuard 安全公司推出了 Fireware Pro 操作系统和 Firebox Peak 高端安全设备，保护企业机密信息安全。

2004年，WatchGuard 中国建立北京办事处，并在2007年建立北京研发中心，迄今为中国多领域、多行业用户提供服务。

安全公司RedTeam Pentesting GmbH披露了 WatchGuard 的身份验证网关和单点登录客户端软件中存在的两个关键漏洞。

WatchGuard公告称身份验证系统Authentication Gateway存在漏洞CVE-2024-6592、CVE-2024-6593、CVE-2024-6594。

WatchGuard及时推送12.10.2版Authentication Gateway及Windows、macOS端Single Sign-On Client新版12.7、12.5.4。

WatchGuard公司特别强调，目前攻击者无法利用这些安全漏洞取得帐密数据，且未曾发现相关安全漏洞被用于实际攻击。

二、漏洞分析

WatchGuard日前发布安全公告，指出身份验证系统Authentication Gateway的单一签入（SSO）组件存在多个安全漏洞。

这些安全漏洞被分别标记为CVE-2024-6592、CVE-2024-6593、CVE-2024-6594，相关 CVSS 风险评分则介于7.5至9.1。

需要特别注意的是，其中 CVE-2024-6592、CVE-2024-6593 两个漏洞被列为重大层级，CVS评分高达9.1，需谨慎对待。

这是因为 Authentication Gateway 与 Single Sign-On Client 之间出现不正确授权的情况：

漏洞CVE-2024-6592：

波及Windows和macOS端，与Windows和MacOS身份验证网关和单点登录客户端间通信协议中的欺诈性身份验证相关。

漏洞存在可能允许攻击者欺骗通信、提取经过身份验证的用户名和组信息，或将任意帐户和组数据发送到身份验证网关。

攻击者在获得网络访问权限的情况下，可以凭借伪造的通信触发漏洞，截取通过身份验证的用户名以及群组成员的身份。

攻击者甚至可以将任意账号及群组资讯发送到 Authentication Gateway 身份验证网关。

漏洞CVE-2024-6593：

仅波及Windows用户端，允许具有网络访问权限黑客在身份验证网关执行受限管理命令，但不能直接用于获取用户凭证。

该漏洞可能会导致敏感的用户信息（例如用户名和组成员资格）被获取或代理设置被篡改，但其可执行的管理命令有限。

三、影响范围

身份验证网关版本 <= 12.10.2

Windows 单点登录客户端版本  <= 12.7

MacOS 单点登录客户端版本  <= 12.5.4

四、修复建议

WatchGuard 身份验证网关（单点登录）已发布安全更新来解决 WatchGuard 身份验证网关（单点登录）中存在的漏洞。

受影响系统的用户需要尽快更新身份验证网关版本和单点登录客户端版本，避免因上述安全漏洞造成的可能的不利影响。

建议使用Windows防火墙规限制对受影响组件使用的特定TCP端口访问，并利用组策略对象将规则应用到Windows 端点。

五、参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-6592

https://nvd.nist.gov/vuln/detail/CVE-2024-6593

https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2024-00014

https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2024-00015