近期,美国网络安全和基础设施安全局(CISA)宣布将三项严重安全漏洞正式加入其已知被利用漏洞(KEV)目录,这些漏洞分别影响AMI MegaRAC的管理固件、D-Link DIR-859路由器以及Fortinet的FortiOS设备。这一举措基于实证的活跃利用,警示相关企业和机构必须尽快采取防护措施,以防范潜在的网络攻击风险。首先,关于AMI MegaRAC所涉及的CVE-2024-54085漏洞,这是一个Redfish主机接口认证绕过漏洞,其严重性被赋予最高10.0分的CVSS评分。此漏洞允许远程攻击者通过伪造身份绕过认证,获取设备的控制权限。AMI MegaRAC的基板管理控制器(BMC)主要用于服务器的远程管理和维护,攻击者一旦入侵就能对服务器进行重启、断电、固件修改等操作,其威胁程度极高。安全公司Eclypsium最早在今年公开了该漏洞,指出攻击者可以通过发送HTTP POST请求来远程创建管理员账户,无需任何先前认证。
这使得攻击者能够在没有被检测的情况下隐秘渗透,甚至可以将恶意代码直接植入BMC固件,从而实现持久化,规避常规操作系统及安全软件的监控。鉴于全球约有2000台暴露于互联网的AMI MegaRAC管理设备,相关风险不容忽视。据报道,AMD、ARM、华为、高通、英伟达、超微(Supermicro)等知名企业均采用了这一系列产品,若未能及时修补,将面临严重的安全隐患。此外,目前尚无具体公开情报详细描述该漏洞被利用后的攻击手法或相关的恶意软件样本,尽管如此,安全研究者怀疑与中国相关的多个APT组织,包括Volt Typhoon、Salt Typhoon、Flax Typhoon,以及知名的APT31、APT41和Velvet Ant,是极有可能的威胁主体。这些攻击团体以利用固件后门和统一可扩展固件接口(UEFI)植入实现隐蔽持久化的手法闻名。再来看D-Link DIR-859路由器的CVE-2024-0769漏洞,该漏洞为路径穿越漏洞,能让攻击者实现权限提升并完全控制目标设备。
更值得警惕的是,D-Link DIR-859自2020年12月起已达到产品寿命终止(EoL)状态,这意味着官方不会继续发布安全补丁,受影响用户只能考虑替换设备以规避风险。GreyNoise的威胁情报显示,该漏洞曾于一年前被用作大规模的账户信息窃取活动,目标是获取设备上所有用户的用户名、密码、用户组及描述信息。值得指出的是,路由器作为家庭及小型企业的重要网络核心设备,一旦被妥协,将严重影响网络安全及隐私保护。最后,Fortinet FortiOS系列设备相关漏洞CVE-2019-6693虽由多年之前披露,但依旧存在较大的实际风险。此漏洞涉及硬编码的加密密钥,影响FortiOS、FortiManager及FortiAnalyzer等产品,攻击者一旦获得CLI配置文件或其备份,即有可能解密存储的密码及敏感数据。多个安全厂商的调查表明,该漏洞已被与Akira勒索软件相关联的攻击组利用,作为入侵网络的起点。
该漏洞的持续存在提醒用户及时更新和审查设备配置,防止机密信息泄露及进一步威胁的发生。鉴于以上漏洞的活跃利用现状,美国联邦民用执行部门要求在2025年7月16日前完成相关补丁的部署和缓解措施的落实,以保障政府及关键行业网络的安全稳定。同时,企业和个人用户也应高度重视设备的固件和系统安全,做好漏洞扫描、风险评估及及时更新工作。保护基于BMC和路由器的管理平台尤为重要,因为这些设备处在操作系统之下,其被攻破后将绕过传统安全防护措施,极大地增强攻击者的横向移动和数据窃取能力。此外,应加强对固件层安全的关注,防范通过固件后门进行的隐蔽攻击。现代网络安全防御需要跨层面的多重防护,不仅仅关注操作系统和应用层,更要深入到硬件管理控制器和网络设备的安全保障。
综合来看,这三项漏洞凸显了当今网络设备固件安全的脆弱面,预示着未来攻击者将可能更多地瞄准固件层级的薄弱环节进行隐蔽和持久攻击。面对这类高级威胁,安全团队必须加强威胁侦测能力,及时收集、分享和响应关于最新漏洞的威胁情报。业界建议相关厂商改善固件设计,提高认证机制的安全性,避免硬编码密码和密钥。同时,用户在设备生命周期结束时,应尽早替换不再支持的产品,以防无补丁安全风险的累积。除此之外,加强针对特权账户管理与网络分段控制,能有效限制攻击者利用BMC权限发动的横向渗透和数据泄露。总体而言,CISA将这三项漏洞纳入KEV目录无疑反映出其严重威胁层级,提醒业界加快补丁修复和风险应对工作。
对于所有依赖AMI MegaRAC管理固件、D-Link路由器及Fortinet网络安全产品的机构,尽快落实安全更新和风险缓解策略,确保其网络环境不受恶意势力侵害,是当务之急。在网络安全战线上,固件层面的防御逐渐成为重中之重,只有全方位、多层次的安全防护体系,才能有效保障现代数字基础设施的稳定与可靠。
