資料來源：IThome

1月10日Arctic Wolf提出警告，他們察覺專門針對Fortinet防火牆設備FortiGate的攻擊行動Console Chaos，攻擊者鎖定能公開存取的管理介面下手，過程中很有可能利用零時差漏洞來進行，呼籲企業組織要儘速關閉能公開存取防火牆管理介面的管道來因應。

究竟這起事故是否為零時差漏洞攻擊？我們昨天下午透過公關公司與Fortinet確認，但到截稿為止尚未得到回應。不過，根據資安新聞網站Bleeping Computer、The Hacker News、Dark Reading、SecurityAffairs的報導，攻擊者在上述事故利用的零時差漏洞，後來資安業者Fortinet證實的確存在，並發布資安公告，揭露重大層級身分驗證繞過漏洞CVE-2024-55591。

Fortinet在這份公告指出，CVE-2024-55591出現在Node.js的Websocket模組，一旦攻擊者對該模組發送偽造的請求，就有機會奪走超級管理員權限，CVSS風險達到9.6分（滿分10分），影響執行7.0.0至7.0.16版FortiOS作業系統的防火牆設備，以及7.0.0至7.2.12版上網安全閘道FortiProxy系統，該公司已發布7.0.17版FortiOS，以及7.0.20與7.2.13版FortiProxy修補。

Fortinet也表明此漏洞已被用於實際攻擊行動，但並未進一步說明細節，也沒有提及通報者的身分，因此我們無法以此確認本次公告的漏洞與Arctic Wolf稍早揭露事故的關聯。

那麼Arctic Wolf看到什麼？他們揭露的攻擊活動樣貌很具體，根據研究人員Andres Ramos在12月17日發布的部落格文章指出，他們在12月上旬察覺專門針對Fortinet防火牆的攻擊行動，提醒該廠牌防火牆用戶採取因應措施防範，不過，當時他們尚未完全確定影響範圍，也沒有透露進一步的資訊。1月10日Arctic Wolf有7位研究員，包含Stefan Hostetler、Julian Tuin、Trevor Daher等人，聯合發文，揭露相關細節，指出攻擊者存取FortiGate的管理介面，從而竄改防火牆的組態配置，並利用DCSync挖掘帳密資料。而對於這起事故的通報，Arctic Wolf表示他們在12月12日向Fortinet通報此事，並在17日收到Fortinet的PSIRT的回應。

究竟攻擊者如何發動攻擊？研究人員表示他們無法確定，但根據受害組織及受影響的防火牆韌體等資訊，攻擊者很有可能大規模運用零時差漏洞來進行。

這波大規模攻擊大致區分成4個階段，分別是漏洞掃描、偵察、竄改SSL VPN組態，以及橫向移動。攻擊者從11月16日至23日進行漏洞掃描，隨後於22日至27日從事偵察工作。

接著，他們在12月4日至7日竄改SSL VPN組態，然後在一週後於16至27日於受害組織內部橫向移動。

研究人員提及，這些事故的共通點，在於攻擊者來自一組不尋常的IP位址，並透過jsconsole介面發動攻擊，他們針對執行7.0.14至7.0.16版FortiOS作業系統的防火牆下手。有鑑於攻擊事故所運用的基礎設施及工具出現細微差異，Arctic Wolf研判有多組人馬從事這波攻擊。