Fortinet je potvrdio detalje o kritičnom sigurnosnom propustu koji utiče na FortiManager koji je bio pod aktivnom eksploatacijom u divljini.
Praćena kao CVE-2024-47575 (CVSS rezultat: 9,8), ranjivost je poznata i kao FortiJump i ukorijenjena je u protokolu FortiGate to FortiManager ( FGFM ).
“Nedostajuća autentifikacija za ranjivost kritične funkcije [CWE-306] u FortiManager fgfmd demonu može dozvoliti udaljenom neautoriziranom napadaču da izvrši proizvoljni kod ili komande putem posebno kreiranih zahtjeva”, rekla je kompanija u savjetovanju u srijedu.
Nedostatak utiče na verzije FortiManagera 7.x, 6.x, FortiManager Cloud 7.x i 6.x. Takođe utiče na stare modele FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G i 3700G i 3900G koji imaju omogućenu konfiguraciju najmanje jednog servisa na f i ispod f – na f i ispod.
config system global aktiviranje fmg-statusa kraj
Fortinet je takođe obezbedio dva rešenja za grešku u zavisnosti od trenutne verzije FortiManagera koji je instaliran –
- FortiManager verzije 7.0.12 ili novije, 7.2.5 ili novije, 7.4.3 ili novije: spriječite nepoznate uređaje da se pokušaju registrirati
- FortiManager verzije 7.2.0 i novije: Dodajte lokalne politike da biste omogućili listu IP adresa FortiGatesa kojima je dozvoljeno povezivanje
- FortiManager verzije 7.2.2 i novije, 7.4.0 i novije, 7.6.0 i novije: Koristite prilagođeni certifikat
Prema runZero-u, uspješna eksploatacija zahtijeva da napadači posjeduju važeći certifikat uređaja Fortinet, iako je navedeno da se takvi certifikati mogu dobiti sa postojećeg Fortinet uređaja i ponovo koristiti.
“Identificirane akcije ovog napada u divljini bile su automatiziranje putem skripte eksfiltracije različitih datoteka iz FortiManagera koji su sadržavali IP adrese, krendcijala i konfiguracije upravljanih uređaja”, rekli su iz kompanije.
Međutim, naglašava se da ranjivost nije naoružana za postavljanje malicioznog softvera ili backdoor-a na kompromitovane FortiManager sisteme, niti postoje dokazi o modificiranim bazama podataka ili vezama.
Razvoj je podstakao američku agenciju za cyber sigurnost i sigurnost infrastrukture (CISA) da doda defekt u svoj katalog poznatih eksploatiranih ranjivosti ( KEV ), zahtijevajući od saveznih agencija da primjene popravke do 13. novembra 2024. godine.
Fortinet je takođe podijelio izjavu u nastavku sa The Hacker News –
Nakon što je identifikovao ovu ranjivost ( CVE-2024-47575 ), Fortinet je odmah prenio kritične informacije i resurse korisnicima. Ovo je u skladu s našim procesima i najboljom praksom za odgovorno otkrivanje podataka kako bi se omogućilo korisnicima da ojačaju svoje sigurnosne stavove prije nego što savjet bude javno objavljen široj publici, uključujući aktere prijetnji. Takođe smo objavili odgovarajuće javno savjetovanje ( FG-IR-24-423 ) u kojem se ponavljaju smjernice za ublažavanje, uključujući zaobilazno rješenje i ažuriranja zakrpa. Pozivamo kupce da slijede upute za implementaciju zaobilaznih rješenja i popravki te da nastave pratiti našu stranicu sa savjetima radi ažuriranja. Nastavljamo sa koordinacijom sa odgovarajućim međunarodnim vladinim agencijama i organizacijama za prijetnje industrije kao dio našeg tekućeg odgovora.
Izvor:The Hacker News
