Shadowserver 基金会最近发布的一份报告显示，尽管数月前就已发布了修补程序，但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。

CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞，Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击，在有漏洞的设备上执行任意代码。

Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多（约14,000台），其次是日本（5,100台）和印度（4,800台）。

我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113（格式字符串预验证RCE）的攻击。该漏洞已知在野外被利用。

2024-10-12 扫描发现 87,390 个 IP。顶部：美国（14K）、日本（5.1K）、印度（4.8K）https://t.co/KRov0cOJev pic.twitter.com/ddipRXlBTL

– 影子服务器基金会 (@Shadowserver) 2024 年 10 月 13 日

该漏洞影响 Fortinet 的多种产品，包括

FortiOS 7.0 及更新版本
FortiPAM 1.0 及更高版本
FortiProxy 7.0 及以上版本
FortiWeb 7.4
Fortinet 于 2024 年 2 月首次披露并修补了该漏洞，敦促管理员更新系统以避免被利用。该公司建议，作为一项重要的缓解措施，从所有接口移除对易受攻击的 fgfmd 守护进程的访问，但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略，限制特定 IP 地址的 FGFM 连接。但他们强调，这只是一种缓解措施，而不是全面的解决方案，因为漏洞仍可能从允许的 IP 被利用。

尽管有这些警告，但仍有大量设备未打补丁，给全球组织带来持续风险。

上周，网络安全和基础设施安全局（CISA）发出警报，确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模，因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险，特别是由于利用该漏洞只需极少的努力。