Kritisk FortiManager API sårbarhet
Fortinet har rapportert en kritisk sårbarhet i FortiManager API-en, identifisert som CVE-2024-47575 med CVSS score: 9.8, og har blitt utnyttet i zero-day angrep. Mangel på autentisering i fgfmd-daemon gjør det mulig for trusselaktører å bruke uautentiserte FortiManager-enheter til å kjøre vilkårlig kode eller kommandoer ved hjelp av spesiallagde forespørsler. For å få uautentisert tilgang, må angriperen først få tak i et gyldig SSL-sertifikat for en FortiGate-enhet, som vil muliggjøre sikker kommunikasjon med FortiManager. Deretter kobles den komprimmiterte FortiGate-enheten til en eksponert FortiManager gjennom FortiGate til FortiManager-protokollen (FGFM). Sårbarheten i FGFM API-en gjør at angriperen kan omgå ytterligere autorisasjonskontroller som vanligvis ville vært påkrevd for å utføre kommandoer. Når angriperen har fått uautentisert tilgang til FortiManager, har vedkommende full kontroll over administrerte enheter. Dette har blitt brukt til å stjele sensitive filer, inkludert konfigurasjoner, IP-adresser og autentiserings opplysninger.
De berørte versjonene av FortiManager er:
- FortiManager versjon 7.6.0
- FortiManager versjon 7.4.0 til og med 7.4.4
- FortiManager versjon 7.2.0 til og med 7.2.7
- FortiManager versjon 7.0.0 til og med 7.0.12
- FortiManager versjon 6.4.0 til og med 6.4.14
- FortiManager versjon 6.2.0 til og med 6.2.12
- FortiManager Cloud versjon 7.6
- FortiManager Cloud versjon 7.4.1 til og med 7.4.4
- FortiManager Cloud versjon 7.2.1 til og med 7.2.7
- FortiManager Cloud versjon 7.0.1 til og med 7.0.12
- FortiManager Cloud alle versjoner av 6.4
Anbefalinger:
- Oppgradere de berørte versjonene til følgende, avhengig av versjon:
| Berørte versjoner | Løsning |
| FortiManager versjon 7.6.0 | Oppgrader til 7.6.1 eller nyere |
| FortiManager versjon 7.4.0 til og med 7.4.4 | Oppgrader til 7.4.5 eller nyere |
| FortiManager versjon 7.2.0 til og med 7.2.7 | Oppgrader til 7.2.8 eller nyere |
| FortiManager versjon 7.0.0 til og med 7.0.12 | Oppgrader til 7.0.13 eller nyere |
| FortiManager versjon 6.4.0 til og med 6.4.14 | Oppgrader til 6.4.15 eller nyere |
| FortiManager versjon 6.2.0 til og med 6.2.12 | Oppgrader til 6.2.13 eller nyere |
| FortiManager Cloud versjon 7.6 | Ikke relevant |
| FortiManager Cloud versjon 7.4.1 til og med 7.4.4 | Oppgrader til 7.4.5 eller nyere |
| FortiManager Cloud versjon 7.2.1 til og med 7.2.7 | Oppgrader til 7.2.8 eller nyere |
| FortiManager Cloud versjon 7.0.1 til og med 7.0.12 | Oppgrader til 7.0.13 eller nyere |
| FortiManager Cloud alle versjoner av 6.4 | Bytt til fikset utgaver |
Andre alternativer:
- For FortiManager versjon 7.0.12 og nyere, 7.2.5 og nyere, 7.4.3 og nyere (men ikke 7.6.0), forhindre ukjente enheter i å registrere seg:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
- Advarsel: Vær oppmerksom på at hvis serienummeret (SN) til en FortiGate ikke er inkludert i enhetslisten, vil FortiManager hindre den i å koble til for registrering når den distribueres, selv om modell-enheten med PSK er kompatibel.
- Advarsel: Vær oppmerksom på at hvis serienummeret (SN) til en FortiGate ikke er inkludert i enhetslisten, vil FortiManager hindre den i å koble til for registrering når den distribueres, selv om modell-enheten med PSK er kompatibel.
- For FortiManager versjon 7.2.0 og nyere, kan lokale policyer legges til for å hviteliste IP-addresser til FortiGate-enheter som skal ha tillatelse til å kobles til. Eksempel:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end - For FortiManager versjon 7.2.2 og nyere, 7.4.0 og nyere, 7.6.0 og nyere er det mulig å bruke egen definerte sertifikater og installere sertifikatet på FortiGates. Opprette et sertifikat kan gjøres slik:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enableend
KONTAKT MED NETSECURITY:
Er du berørt, eller trenger du hjelp fra Netsecuritys hendelseshåndtering (IRT)?
Ta kontakt her.
KILDER:
[2] : https://www.fortiguard.com/psirt/FG-IR-24-423