Skip to main content

    Kritisk FortiManager API sårbarhet

    Fortinet har rapportert en kritisk sårbarhet i FortiManager API-en, identifisert som CVE-2024-47575 med CVSS score: 9.8, og har blitt utnyttet i zero-day angrep. Mangel på autentisering i fgfmd-daemon gjør det mulig for trusselaktører å bruke uautentiserte FortiManager-enheter til å kjøre vilkårlig kode eller kommandoer ved hjelp av spesiallagde forespørsler. For å få uautentisert tilgang, må angriperen først få tak i et gyldig SSL-sertifikat for en FortiGate-enhet, som vil muliggjøre sikker kommunikasjon med FortiManager. Deretter kobles den komprimmiterte FortiGate-enheten til en eksponert FortiManager gjennom FortiGate til FortiManager-protokollen (FGFM). Sårbarheten i FGFM API-en gjør at angriperen kan omgå ytterligere autorisasjonskontroller som vanligvis ville vært påkrevd for å utføre kommandoer. Når angriperen har fått uautentisert tilgang til FortiManager, har vedkommende full kontroll over administrerte enheter. Dette har blitt brukt til å stjele sensitive filer, inkludert konfigurasjoner, IP-adresser og autentiserings opplysninger.

    De berørte versjonene av FortiManager er:

    • FortiManager versjon 7.6.0 
    • FortiManager versjon 7.4.0 til og med 7.4.4
    • FortiManager versjon 7.2.0 til og med 7.2.7
    • FortiManager versjon 7.0.0 til og med 7.0.12
    • FortiManager versjon 6.4.0 til og med 6.4.14
    • FortiManager versjon 6.2.0 til og med 6.2.12
    • FortiManager Cloud versjon 7.6
    • FortiManager Cloud versjon 7.4.1 til og med 7.4.4
    • FortiManager Cloud versjon 7.2.1 til og med 7.2.7
    • FortiManager Cloud versjon 7.0.1 til og med 7.0.12
    • FortiManager Cloud alle versjoner av 6.4 

    Anbefalinger:

    • Oppgradere de berørte versjonene til følgende, avhengig av versjon:
    Berørte versjoner Løsning
    FortiManager versjon 7.6.0        Oppgrader til 7.6.1 eller nyere
    FortiManager versjon 7.4.0 til og med 7.4.4 Oppgrader til 7.4.5 eller nyere
    FortiManager versjon 7.2.0 til og med 7.2.7 Oppgrader til 7.2.8 eller nyere
    FortiManager versjon 7.0.0 til og med 7.0.12 Oppgrader til 7.0.13 eller nyere
    FortiManager versjon 6.4.0 til og med 6.4.14 Oppgrader til 6.4.15 eller nyere
    FortiManager versjon 6.2.0 til og med 6.2.12 Oppgrader til 6.2.13 eller nyere
    FortiManager Cloud versjon 7.6 Ikke relevant
    FortiManager Cloud versjon 7.4.1 til og med 7.4.4 Oppgrader til 7.4.5 eller nyere
    FortiManager Cloud versjon 7.2.1 til og med 7.2.7 Oppgrader til 7.2.8 eller nyere
    FortiManager Cloud versjon 7.0.1 til og med 7.0.12 Oppgrader til 7.0.13 eller nyere
    FortiManager Cloud alle versjoner av 6.4  Bytt til fikset utgaver

     

    Andre alternativer:

    • For FortiManager versjon 7.0.12 og nyere, 7.2.5 og nyere, 7.4.3 og nyere (men ikke 7.6.0), forhindre ukjente enheter i å registrere seg:
                         config system global
                        (global)# set fgfm-deny-unknown enable
                        (global)# end

      • Advarsel: Vær oppmerksom på at hvis serienummeret (SN) til en FortiGate ikke er inkludert i enhetslisten, vil FortiManager hindre den i å koble til for registrering når den distribueres, selv om modell-enheten med PSK er kompatibel.

    • For FortiManager versjon 7.2.0 og nyere, kan lokale policyer legges til for å hviteliste IP-addresser til FortiGate-enheter som skal ha tillatelse til å kobles til. Eksempel:

               config system local-in-policy
               edit 1
               set action accept
               set dport 541
               set src
               next
               edit 2
               set dport 541
               next
               end   

    • For FortiManager versjon 7.2.2 og nyere, 7.4.0 og nyere, 7.6.0 og nyere er det mulig å bruke egen definerte sertifikater og installere sertifikatet på FortiGates. Opprette et sertifikat kan gjøres slik:
          

               config system global
               set fgfm-ca-cert
               set fgfm-cert-exclusive enable

               end

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm