A Fortinet confirmou detalhes de uma falha crítica de segurança que afeta o FortiManager, que está sob exploração ativa.
Rastreada como CVE-2024-47575 (pontuação CVSS: 9,8), a vulnerabilidade também é conhecida como FortiJump e é baseada no protocolo FortiGate to FortiManager (FGFM).
“Garantir que não haja risco operacional é essencial [CWE-306] no daemon FortiManager fgfmd pode permitir que um invasor remoto não autorizado execute códigos ou comandos usando solicitações especialmente criadas”, disse a empresa na quarta-feira.
A vulnerabilidade afeta as versões 7.x, 6.x, FortiManager Cloud 7.x e 6.x do FortiManager. Também afeta modelos FortiAnalyzer mais antigos 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G e 3900m com uma interface fg com uma interface fg que permite pelo menos um serviço que permite um sub- serviço
config system global set fmg-status enable end
A Fortinet também forneceu dois métodos de solução de problemas, dependendo da versão atual do FortiManager instalada –
- FortiManager versões 7.0.12 ou posterior, 7.2.5 ou posterior, 7.4.3 ou posterior: Impedir que dispositivos desconhecidos tentem se registrar
- FortiManager versões 7.2.0 e superiores: Adicione políticas locais para listar os endereços IP dos FortiGates que têm permissão para se conectar
- FortiManager versões 7.2.2 e superior, 7.4.0 e superior, 7.6.0 e superior: use um certificado personalizado
De acordo com a runZero, uma exploração bem-sucedida exige que os invasores tenham um certificado de dispositivo Fortinet válido, embora tenha observado que tais certificados podem ser obtidos de um dispositivo existente e reutilizados.
“As ações identificadas deste ataque foram automatizar o script de vários arquivos do FortiManager contendo os IPs, informações e configuração dos dispositivos gerenciados”, disse a empresa.
No entanto, enfatizou que a vulnerabilidade não se destina a ser usada por malware ou backdoors em sistemas FortiManager vulneráveis, e não há evidências de qualquer banco de dados ou comunicações modificados.
Este desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) a adicionar um recurso ao seu catálogo conhecido como Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências governamentais aplicassem uma correção até 13 de novembro de 2024.
A Fortinet também compartilhou a declaração abaixo com o The Hacker News –
Depois de identificar esta vulnerabilidade (CVE-2024-47575), a Fortinet comunicou rapidamente informações e recursos importantes aos clientes. Isto está alinhado com nossas práticas e melhores práticas para divulgação responsável, para que os clientes possam fortalecer sua postura de segurança antes que os conselhos sejam divulgados publicamente para um público mais amplo, incluindo atores de ameaças. Também publicamos um comunicado público (FG-IR-24-423) que reitera as orientações de mitigação, incluindo metodologia e revisões das alterações. Pedimos aos clientes que sigam as orientações fornecidas para implementar estratégias operacionais e de manutenção e continuem seguindo nossa página de conselhos para atualizações. Continuamos a comunicar com agências governamentais internacionais relevantes e organizações que ameaçam a indústria como parte da nossa resposta contínua.
