针对 FortiOS的FortiGate API漏洞工具遭到利用

据外媒报道，一名威胁行为者在暗网市场上出售FortiGate API漏洞工具。据称它通过利用超过 170 个不安全的 API 端点来攻击 Fortinet 的 FortiOS 系统，使攻击者能够从受影响的设备中获取大量敏感信息。该工具声称可以绕过传统的身份验证，只需要知道设备的 IP 地址和 API 端口，而无需用户名或密码，为企业活动留下重大隐患。目前，尚未确认该漏洞的真实性，但运行受影响的FortiOS版本的组织应审查其安全态势，限制未经授权的 API 访问，并在可用时立即应用固件补丁。