Критическая ошибка FortiManager, использованная в активных атаках нулевого дня
Компания по кибербезопасности Fortinet подтвердила, что критическая уязвимость безопасности в устройствах FortiManager, как сообщается, активно используется.
Критическая уязвимость, получившая название CVE-2024-47575 (оценка CVSS: 9,8), также известная как FortiJump, связана с протоколом FortiGate to FortiManager (FGFM) в FortiManager и FortiManager Cloud.
«Отсутствует аутентификация для уязвимости критической функции (CWE-306) в демоне FortiManager fgfmd, которая может позволить удаленному неаутентифицированному злоумышленнику выполнять произвольные команды или коды с помощью специально созданных запросов», — пояснила компания в сообщении. консультации по безопасности опубликовано в среду для платформы FortiManager.
«Отчеты показали, что эта уязвимость широко используется», — отметили в компании.
Кроме того, уязвимости подвержены следующие несколько версий FortiManager, а также облачное решение FortiManager Cloud:
- FortiManager 7.6 (версии до 7.6.1)
- FortiManager 7.4 (версии с 7.4.0 по 7.4.4)
- FortiManager 7.2 (версии с 7.2.0 по 7.2.7)
- FortiManager 7.0 (версии с 7.0.0 по 7.0.12)
- FortiManager 6.4 (версии с 6.4.0 по 6.4.14)
- FortiManager 6.2 (версии с 6.2.0 по 6.2.12)
- FortiManager Cloud 7.4 (версии с 7.4.1 по 7.4.4)
- FortiManager Cloud 7.2 (версии с 7.2.1 по 7.2.7)
- FortiManager Cloud 7.0 (версии с 7.0.1 по 7.0.12)
- FortiManager Cloud 6.4 (версии 6.4, все версии)
Помимо вышеуказанных версий, уязвимость также затрагивает старые модели FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G и 3900E, имеющие хотя бы один интерфейс с включенной службой fgfm и следующую функцию: включено (FortiManager в FortiAnalyzer):
глобальная система конфигурации
включить параметр fmg-status
конец
Учитывая высокую серьезность уязвимости, Fortinet рекомендовала затронутым пользователям принять немедленные меры и как можно скорее перейти на исправленные версии, как указано в рекомендациях.
В качестве альтернативы пользователи могут использовать любой из следующих обходных путей для устранения уязвимости в зависимости от установленной текущей версии FortiManager:
- Для FortiManager версии 7.0.12 или выше, 7.2.5 или выше и 7.4.3 или выше (но не 7.6.0) предотвращают попытки регистрации неизвестных устройств.
- Для версий FortiManager 7.2.0 и выше вы можете добавить локальные политики для внесения в белый список IP-адресов FortiGates, которым разрешено подключение.
- Используйте собственный сертификат, чтобы устранить проблему для версий FortiManager 7.2.2 и выше, 7.4.0 и выше, а также 7.6.0 и выше.
FortiManager выпустил только версии 7.2.8 и 7.4.5, остальные, как ожидается, будут выпущены в ближайшие дни.
Компания дополнительно поделилась набором возможных индикаторов компрометации (IoC), таких как записи журнала, конкретные IP-адреса, серийные номера и файлы (которые могут отображаться не во всех случаях), связанные с вредоносной активностью.
Согласно отчету, компания начала в частном порядке оповещать клиентов FortiManager об уязвимости FortiManager 13 октября 2024 года.
«После выявления этой уязвимости (CVE-2024-47575), Fortinet оперативно передала клиентам важную информацию и ресурсы. Это соответствует нашим процессам и лучшим практикам ответственного раскрытия информации, что позволяет клиентам укрепить свою безопасность до того, как рекомендация будет публично опубликована для более широкой аудитории, включая субъектов угроз», — говорится в опубликованном заявлении компании.
«Мы также опубликовали соответствующее публичное сообщение (ФГ-ИР-24-423) повторяя рекомендации по смягчению последствий, включая обходные пути и обновления исправлений. Мы призываем клиентов следовать инструкциям по внедрению обходных путей и исправлений, а также продолжать отслеживать обновления на нашей странице с рекомендациями. Мы продолжаем координировать свои действия с соответствующими международными правительственными учреждениями и отраслевыми организациями по угрозам в рамках нашего постоянного реагирования».