Fortinet澄清CVE-2025-24472非零日漏洞，仅CVE-2024-55591被利用

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Fortinet澄清CVE-2025-24472非零日漏洞，仅CVE-2024-55591被利用

宣布时间 2025-02-13

1. Fortinet澄清CVE-2025-24472非零日漏洞，仅CVE-2024-55591被利用

2月11日，Fortinet近日警告称，攻击者正在利用FortiOS和FortiProxy中的漏洞来劫持防火墙并侵入企业网络。但随后Fortinet通知，新披露的CVE-2025-24472漏洞并非零日漏洞，且已在一月份修复。同时确认，只有CVE-2024-55591漏洞被实际利用。若客户已凭据先前指导升级，则已受�；�。CVE-2025-24472漏洞允许远程攻击者通过恶意CSF署理请求获得超级管理员权限，影响FortiOS 7.0.0至7.0.16及FortiProxy部门版本，已在更新版本中修复。攻击者还利用CVE-2024-55591漏洞在设备上创建随机管理员账户，修改配置，并通过恶意帐户访问SSLVPN。网络宁静公司Arctic Wolf陈诉了相关攻击活动，包罗漏洞扫描、侦察、SSL VPN配置及横向移动等阶段，并建议禁用公共接口上的防火墙管理访问。Fortinet建议无法立即更新的管理员禁用HTTP/HTTPS管理界面或限制访问IP地址作为临时解决要领。

https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/

2. 利用旧版 ThinkPHP 和 ownCloud 漏洞的攻击激增

2月12日，近期黑客活动泛起增长趋势，他们主要针对易受2022年和2023年旧宁静问题影响的、维护不善的设备提倡攻击。据威胁监控平台GreyNoise陈诉，利用CVE-2022-47945和CVE-2023-49103漏洞的攻击行为者数量激增。CVE-2022-47945涉及ThinkPHP框架的当地文件包罗（LFI）问题，允许未经身份验证的远程攻击者执行任意操作系统命令；而CVE-2023-49103则影响开源文件共享软件ownCloud，黑客可通过该漏洞窃取敏感信息。尽管这些漏洞的漏洞预测评分系统（EPSS）评分较低，且未全部列入CISA的已知利用漏洞（KEV）目录，但GreyNoise已视察到大量唯一IP试图利用这些漏洞，且活动有所增加。为�；は低�，建议用户升级到ThinkPHP 6.0.14或更高版本，将ownCloud GraphAPI升级到0.3.1及更新版本，并将潜在易受攻击的实例脱机或置于防火墙后面。

https://www.bleepingcomputer.com/news/security/surge-in-attacks-exploiting-old-thinkphp-and-owncloud-flaws/

3. Kimsuky接纳ClickFix计谋提倡新型网络攻击

2月12日，朝鲜国家演员“Kimsuky”近期接纳了一种受ClickFix活动启发的新计谋进行网络攻击。ClickFix是一种社会工程计谋，通过欺骗性错误消息或提示诱导受害者执行恶意代码，常用于流传信息窃取恶意软件。Kimsuky伪装成韩国政府官员，与目标建立信任后，发送带有PDF附件的鱼叉式网络钓鱼电子邮件。然而，这些PDF文档实际上引导受害者访问虚假设备注册链接，要求他们以管理员身份运行PowerShell并粘贴攻击者提供的代码。一旦执行，该代码会安装远程桌面工具，下载证书，并将受害者设备注册到远程服务器，使攻击者能够直接访问并窃取数据。微软自2025年1月起在有限范围的攻击中视察到这种计谋，目标涉及国际事务组织、非政府组织、政府机构和媒体公司的个人。微软已通知受影响客户，并警告其他人注意这一新计谋，谨慎看待所有未经请求的通信。用户应特别小心在线复制并执行代码的请求，尤其是在以管理员权限执行时。

https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/

4. 俄罗斯黑客组织APT44分支“贝壳暴雪”全球攻击活动揭秘

2月12日，俄罗斯政府支持的黑客组织APT44的一个分支，被称为“贝壳暴雪”或“沙虫”，自2021年以来一直活跃于针对重要组织和政府的网络攻击中，特别是在能源、石油和天然气、电信、航运和武器制造领域。该组织致力于获取目标系统的初始访问权限，并建立持久性以维持存在，以便其他APT44子组接管。微软威胁情报团队视察到，该组织针对乌克兰、欧洲、中亚、南亚和中东地域的要害领域开展机会性行动，特别是在俄罗斯入侵乌克兰后，加强了对乌克兰要害基础设施的攻击。此外，该组织还利用多种技术破坏网络，包罗利用n日漏洞、凭证偷窃和供应链攻击等。在获取访问权限后，黑客通过部署自界说Web shell建立持久性，并使用合法的IT远程管理工具执行命令，同时冒充IT管理员以逃避检测。对于初始访问后的活动，威胁行为者窃取凭据、泄露数据，并通过Tor网络隐藏连接。最后，该组织进行横向移动，修改基础设施以满足其运营需求。微软体现，该俄罗斯黑客小组的影响力接近全球，并分享了狩猎查询、攻击指标和YARA规则，以资助防御者及时捕捉并阻止该威胁行为者的活动。

https://www.bleepingcomputer.com/news/security/badpilot-network-hacking-campaign-fuels-russian-sandworm-attacks/

5. Hipshipper数百万运输标签曝光，个人信息宁静紧急

2月11日，Hipshipper是为eBay、Shopify和亚马逊卖家提供国际运输服务的平台，近期遭遇了一起严重的数据泄露事件。在2024年12月这个国际运输岑岭月，Cybernews研究团队发现Hipshipper的一个未受�；さ腁WS存储桶袒露了凌驾1430万条记录，主要包罗运输标签和海关申报表，泄露了买家的全名、家庭住址、电话号码及订单详情等个人详细信息。这些泄露的数据可能被网络犯罪分子用于筹谋高级诈骗、网络钓鱼攻击或有针对性的恶意软件攻击，增加了受害者遭受欺诈、骚扰、偷窃和经济损失的风险。幸运的是，在Cybernews联系Hipshipper后，该公司及时关闭了袒露的存储桶，防止了数据的进一步泄露。为了制止类似事件再次发生，研究人员建议企业加强访问控制、监控访问日志、启用服务器端加密、实施SSL/TLS宁静通信，并考虑定期审计、自动宁静检查和员工培训等宁静最佳实践。此次数据泄露的发现日期为2024年12月2日，首次披露于2024年12月9日，并于2025年1月8日结束泄露。

https://cybernews.com/security/hipshipper-data-leak-exposed-shipping-records/

6. CISA将Windows和Zyxel设备漏洞添加到已知被利用漏洞目录

2月12日，美国网络宁静和基础设施宁静局（CISA）近期更新了其已知被利用漏洞（KEV）目录，新增了涉及Windows和Zyxel设备的多个漏洞。其中包罗Zyxel DSL CPE OS的命令注入漏洞CVE-2024-40891和CVE-2024-40890，以及Microsoft Windows的两个漏洞：辅助功效驱动法式的WinSock基于堆的缓冲区溢出漏洞CVE-2025-21418和存储链接跟踪漏洞CVE-2025-21391。CVE-2024-40891和CVE-2024-40890允许攻击者在未经验证的情况下执行任意命令，可能导致设备接管等严重后果，且CVE-2024-40891已被视察到数千次攻击实验。而Windows的两个漏洞也被积极利用，CVE-2025-21391允许攻击者删除文件并可能结合代码执行接管系统，CVE-2025-21418则允许经过身份验证的用户获取系统特权。微软已在2025年2月的宁静更新中修复了这两个Windows漏洞，但Zyxel设备的漏洞尚未得到供应商修复和果然披露。

https://securityaffairs.com/174135/security/u-s-cisa-adds-microsoft-windows-zyxel-device-flaws-known-exploited-vulnerabilities-catalog.htm

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究