網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）發布嚴重安全警報，強調Fortinet FortiOS 與FortiProxy系統重大漏洞，駭客正在積極利用這些漏洞。有證據顯示勒索軟體活動中存在主動利用該漏洞的證據，該漏洞（CVE-2025-24472）可繞過耳份驗證並已被添加到CISA的已知利用漏洞 (KEV) 目錄中。

Fortinet FortiOS 驗證繞過漏洞

此高嚴重漏洞CVSS評分為8.1，允許遠端攻擊者透過精心設計的CSF（Fortinet Security Fabric）代理伺服器請求並獲取超級管理者權限，而無需使用者進行互動。Fortinet建議：「影響 FortiOS和 FortiProxy 的使用備用路徑或通道繞過身份驗證的漏洞並允許遠端攻擊者透過精心設計的CSF（Fortinet Security Fabric）代理伺服器請求並獲取超級管理者權限」。（如圖）

圖: Fortinet FortiOS 驗證漏洞攻擊鏈

安全專家警告，成功利用漏洞可以讓攻擊者獲取受攻擊影響系統的完全管理存取權限，包括建立惡意管理員帳戶、修改防火牆政策以及存取SSL VPN以滲透內部網路。這類存取等級使該漏洞在勒索軟體操作中特別危險。

緩解措施

CISA通知各組織「依照供應商指示採取相關緩解措施，並遵循適用於雲端服務BOD 22-01指引註1(降低已知遭利用漏洞的顯著風險」（Reducing the Significant Risk of Known Exploited Vulnerabilities，或在沒有緩解措施的情況下停止使用該產品」）。Fortinet已發布修補程式修復FortiOS 7.0.17或更高版本與FortiProxy 7.0.20/7.2.13或更高版本中的漏洞。

對於無法立即修補的組織，臨時降低風險選項包括停用 HTTP/HTTPS管理介面或透過本機原則實施IP限制。組織安全團隊還應隨時監控日誌中的可疑活動，例如來自「jsconsole」介面的無法解釋的登入管理或使用隨機使用者名稱建立的管理員帳戶。

KEV漏洞警示目錄註2(Known Exploited Vulnerabilities catalog)由 CISA維護，是已確認攻擊者利用的漏洞較權威資料來源。CISA強烈建議所有實體應優先修復已列出的相關漏洞，以降低受到攻擊的風險。建議組織將KEV目錄作為其漏洞管理優先且關鍵框架，使其成為有效外部攻擊面管理的重要組成部分。

註1: BOD-22-01指引，為「降低已知遭利用漏洞的顯著風險」（Reducing the Significant Risk of Known Exploited Vulnerabilities），適用於由各聯邦機關自行操作，或交由第三方代管理的所有連網或非連網資訊系統的硬體與軟體；所有受此命令規範的單位，必須在期限內依照指引，即刻處理表列清單中的各種漏洞。https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy

註2:

KEV漏洞警示目錄(Known Exploited Vulnerabilities catalog)https://www.cisa.gov/known-exploited-vulnerabilities-catalog

本文參考自：https://cybersecuritynews.com/cisa-fortinet-fortios-authentication/