Novú kritickú zraniteľnosť FortiManager aktívne zneužívajú na vykonávanie kódu

Spoločnosť Fortinet opravila kritickú aktívne zneužívanú zero-day zraniteľnosť v produkte FortiManager. CVE-2024-47575 spočíva v chýbajúcej autentifikácii pre prístup ku rozhraniu API, ktoré umožňuje vykonávanie príkazov, prístup k citlivým údajom a prevzatie kontroly nad FortiManager a v ňom spravovanými zariadeniami.

Zraniteľné systémy:

• FortiManager 7.6.0
• FortiManager 7.4.0 – 7.4.4
• FortiManager 7.2 – 7.2.7
• FortiManager 7.0 – 7.0.12
• FortiManager 6.4 – 6.4.14
• FortiManager 6.2 – 6.2.12
• FortiManager Cloud 7.4.1 – 7.4.4
• FortiManager Cloud 7.2.1 – 7.2.7
• FortiManager Cloud 7.0.1 – 7.0.12
• FortiManager Cloud 6.4 všetky verzie

Staršie modely FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E, pokiaľ majú povolené „config system global -> set fmg-status enable -> end“ a aspoň jedno rozhranie so službou fgfm.

Opis činnosti:

CVE-2024-47575 (CVSS skóre 9,8)

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú aktívne zneužívanú zero-day zraniteľnosť v produkte FortiManager. CVE-2024-47575 spočíva v chýbajúcej implementácii mechanizmov autentifikácie bližšie nešpecifikovanej funkcionality API démona fgfmd. Vzdialený neautentifikovaný útočník ju zaslaním špeciálne vytvorených požiadaviek môže zneužiť na injekciu príkazov, vykonanie škodlivého kódu a získanie neoprávneného prístupu k citlivým údajom minimálne v rozsahu konfigurácie zariadenia, IP adries a prihlasovacích údajov k spravovaným zariadeniam. Útočník musí disponovať platným certifikátom ľubovoľného zariadenia Fortinet. To však nepredstavuje väčšiu prekážku.

Spoločnosť už od 13. októbra 2024 používateľov postupne varovala a poskytla aj odporúčania pre dočasnú mitigáciu zraniteľnosti. Podľa spoločnosti Mandiant je zraniteľnosť aktívne zneužívaná minimálne od júna 2024.

Možné škody:

• Vzdialené vykonávanie kódu
• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia aspoň na:

• FortiManager 7.6.1
• FortiManager 7.4.5
• FortiManager 7.2.8
• FortiManager 7.0.13
• FortiManager 6.4.15
• FortiManager 6.2.13
• FortiManager Cloud 7.4.5
• FortiManager Cloud 7.2.8
• FortiManager Cloud 7.0.13

Ak aktualizácia nie je momentálne možná, výrobca odporúča nastaviť kontrolu pristupujúcich zariadení niekoľkými spôsobmi v závislosti od Vašej zraniteľnej verzie FortiManager, pre verzie 7.0.12, 7.2.0-7.2.7, 7.4.0-7.4.4 a 7.6.0. Môžete tiež obmedziť prístup ku administratívnemu rozhraniu FortiManager z verejných IP adries.

Odporúčame tiež skontrolovať prítomnosť indikátorov kompromitácie, ktorých zoznam zverejnila Fortinet, vo Vašich logoch.

Odkazy:

• https://www.fortiguard.com/psirt/FG-IR-24-423
• https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/
• https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
• https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575