Kritisk varsel - FortiManager API sårbarhet

Kritisk FortiManager API sårbarhet

Fortinet har rapportert en kritisk sårbarhet i FortiManager API-en, identifisert som CVE-2024-47575 med CVSS score: 9.8, og har blitt utnyttet i zero-day angrep. Mangel på autentisering i fgfmd-daemon gjør det mulig for trusselaktører å bruke uautentiserte FortiManager-enheter til å kjøre vilkårlig kode eller kommandoer ved hjelp av spesiallagde forespørsler. For å få uautentisert tilgang, må angriperen først få tak i et gyldig SSL-sertifikat for en FortiGate-enhet, som vil muliggjøre sikker kommunikasjon med FortiManager. Deretter kobles den komprimmiterte FortiGate-enheten til en eksponert FortiManager gjennom FortiGate til FortiManager-protokollen (FGFM). Sårbarheten i FGFM API-en gjør at angriperen kan omgå ytterligere autorisasjonskontroller som vanligvis ville vært påkrevd for å utføre kommandoer. Når angriperen har fått uautentisert tilgang til FortiManager, har vedkommende full kontroll over administrerte enheter. Dette har blitt brukt til å stjele sensitive filer, inkludert konfigurasjoner, IP-adresser og autentiserings opplysninger.

De berørte versjonene av FortiManager er:

• FortiManager versjon 7.6.0 
• FortiManager versjon 7.4.0 til og med 7.4.4
• FortiManager versjon 7.2.0 til og med 7.2.7
• FortiManager versjon 7.0.0 til og med 7.0.12
• FortiManager versjon 6.4.0 til og med 6.4.14
• FortiManager versjon 6.2.0 til og med 6.2.12
• FortiManager Cloud versjon 7.6
• FortiManager Cloud versjon 7.4.1 til og med 7.4.4
• FortiManager Cloud versjon 7.2.1 til og med 7.2.7
• FortiManager Cloud versjon 7.0.1 til og med 7.0.12
• FortiManager Cloud alle versjoner av 6.4 

Anbefalinger:

• Oppgradere de berørte versjonene til følgende, avhengig av versjon:

Andre alternativer:

• For FortiManager versjon 7.0.12 og nyere, 7.2.5 og nyere, 7.4.3 og nyere (men ikke 7.6.0), forhindre ukjente enheter i å registrere seg:
                     config system global
                    (global)# set fgfm-deny-unknown enable
                    (global)# end
  
  
  • Advarsel: Vær oppmerksom på at hvis serienummeret (SN) til en FortiGate ikke er inkludert i enhetslisten, vil FortiManager hindre den i å koble til for registrering når den distribueres, selv om modell-enheten med PSK er kompatibel.
    
    
• For FortiManager versjon 7.2.0 og nyere, kan lokale policyer legges til for å hviteliste IP-addresser til FortiGate-enheter som skal ha tillatelse til å kobles til. Eksempel:
  
           config system local-in-policy
           edit 1
           set action accept
           set dport 541
           set src
           next
           edit 2
           set dport 541
           next
           end   
  
  
• For FortiManager versjon 7.2.2 og nyere, 7.4.0 og nyere, 7.6.0 og nyere er det mulig å bruke egen definerte sertifikater og installere sertifikatet på FortiGates. Opprette et sertifikat kan gjøres slik:
      

           config system global
           set fgfm-ca-cert
           set fgfm-cert-exclusive enable

           end