Fortinet FortiOS远程代码执行漏洞CVE-2024-23113

Fortinet（飞塔）是全球知名网安产品和解决方案提供商，产品包括防火墙和VPN、防病毒软件、入侵防御系统和终端安全组件等。

FortiOS 是Fortinet开发专用FortiGate的安全操作系统，提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。

一、基本情况

FortiOS 即Fortinet的操作系统，是 Fortinet Security Fapic 的基础，该系统实现了安全与组网的融合，弥补了安全漏洞并简化管理。

2024年02月19日，Fortinet官方发布安全公告修复旗下多款产品中一个格式字符串漏洞（CVE-2024-23113），其CVSS评分为9.8。

Shadowserver 基金会近期的一份报告显示，尽管已经时隔半年，仍有大量 Fortinet 设备存在这个严重的远程代码执行 (RCE) 漏洞。

二、漏洞分析

2024年10月12日，Shadowserver 基金会在扫描中发现惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。

对此，Shadowserver近期发布一份专门的报告，表示仍有大量 Fortinet 设备存在严重的远程代码执行漏洞即CVE-2024-23113漏洞。

报告显示，扫描发现的87390个唯一IP地址中，美国暴露设备数量最多（约14000台），其次是日本（5100台）和印度（4800台）。

美国网络安全暨基础架构安全管理局（Cybersecurity and Infrastructure Security Agency，CISA）本周更是公告呼吁及时升级版本。

CISA 呼吁立即采取措施，同时将其加入已知被滥用漏洞名单三项漏洞之一，另二项是Ivanti SQL程序代码注入及OS指令注入漏洞。

遭滥用的CVE-2024-23113漏洞是一个影响 fgfmd 守护进程的认证前RCE漏洞，早在2024年02月19日就由Fortinet首次披露并修复。

由于Fortinet FortiOS、FortiProxy、FortiPAM 和 FortiWeb 等产品多个版本中 fgfmd 守护进程接受外部控制的格式字符串作为参数。

攻击者可通过操弄输入的叫呼消息格式触发，而在未经授权情况下在FortiOS上通过特制请求在受影响设备中执行任意命令或代码。

该漏洞影响Fortinet多项产品，包括FortiOS、代理服务器FortiProxy、特权访问管理FortiPAM及集中管理平台FortiSwitchManager。

Fortinet在2024年02月19日首次披露并修补了该漏洞后，敦促及时更新版本，并建议实施本地策略，限制特定IP地址的FGFM连接。

尽管多部门发布安全警告，尽管已时隔半年，全球依旧有数千台 Fortinet 设备暴露在漏洞中，且已经被确认正在被攻击者在野利用。

三、漏洞影响

FortiOS版本：7.4.0（含）~7.4.2（含）

FortiOS版本：7.2.0（含）~7.2.6（含）

FortiOS版本：7.0.0（含）~7.0.13（含）

FortiPAM 版本：1.0 所有版本

FortiPAM 版本：1.1 所有版本

FortiPAM 版本：1.2 所有版本

FortiProxy 版本：7.4.0（含）~ 7.4.2（含）

FortiProxy 版本：7.2.0（含）~ 7.2.8（含）

FortiProxy 版本：7.0.0（含）~ 7.0.15（含）

 FortiWeb版本：7.4.0（含）~7.4.2（含）

四、修复建议

Fortinet已发布更新以解决产品中的漏洞，建议受影响版本的用户更新到最新版本。