網絡安全公司 Fortinet 已確認,FortiManager 設備中的一個關鍵安全漏洞據報導已被廣泛利用。
該嚴重漏洞被稱為 CVE-2024-47575(CVSS 評分:9.8),也稱為 FortiJump,源自 FortiManager 和 FortiManager Cloud 中的 FortiGate 到 FortiManager (FGFM) 協議。
“FortiManager fgfmd 守護進程中缺少關鍵功能漏洞 [CWE-306] 的身份驗證,這可能允許未經身份驗證的遠程攻擊者通過特製請求執行任意命令或代碼,該公司在一份報告中解釋道。安全諮詢週三發布了其 FortiManager 平台。
該公司指出:“報告顯示該漏洞可能被廣泛利用。”
此外,以下多個版本的FortiManager以及基於雲的FortiManager Cloud受到該漏洞的影響:
- FortiManager 7.6(7.6.1 之前的版本)
- FortiManager 7.4(版本 7.4.0 至 7.4.4)
- FortiManager 7.2(版本 7.2.0 至 7.2.7)
- FortiManager 7.0(版本 7.0.0 至 7.0.12)
- FortiManager 6.4(版本 6.4.0 至 6.4.14)
- FortiManager 6.2(版本 6.2.0 至 6.2.12)
- FortiManager Cloud 7.4(版本 7.4.1 至 7.4.4)
- FortiManager Cloud 7.2(版本 7.2.1 至 7.2.7)
- FortiManager Cloud 7.0(版本 7.0.1 至 7.0.12)
- FortiManager Cloud 6.4(版本 6.4 所有版本)
除上述版本外,該漏洞還影響舊版 FortiAnalyzer 型號 1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G 和 3900E,這些型號至少有一個啟用了 fgfm 服務的接口並具有以下功能啟用(FortiAnalyzer 上的 FortiManager):
配置系統全局
設置 fmg 狀態啟用
結尾
鑑於該漏洞的嚴重性,Fortinet 建議受影響的用戶立即採取行動,並儘快升級到通報中概述的修復版本。
或者,用戶可以使用以下任一解決方法來緩解該缺陷,具體取決於當前安裝的 FortiManager 版本:
- 對於 FortiManager,版本 7.0.12 或更高版本、7.2.5 或更高版本以及 7.4.3 或更高版本(但不包括 7.6.0)可防止未知設備嘗試註冊。
- 對於 FortiManager 7.2.0 及更高版本,您可以添加本地策略以將允許連接的 FortiGates IP 地址列入白名單。
- 使用自定義證書可以緩解 FortiManager 版本 7.2.2 及更高版本、7.4.0 及更高版本以及 7.6.0 及更高版本的問題。
FortiManager僅發布了7.2.8和7.4.5版本,其餘版本預計將在未來幾天發布。
該公司還共享了一組可能的妥協指標 (IoC),例如與惡意活動相關的日誌條目、特定 IP 地址、序列號和文件(可能不會在所有情況下出現)。
據報導,該公司於 2024 年 10 月 13 日開始私下向 FortiManager 客戶發出有關 FortiManager 漏洞的警報。
“識別此漏洞後(CVE-2024-47575),Fortinet 及時向客戶傳達關鍵信息和資源。這符合我們負責任披露的流程和最佳實踐,使客戶能夠在向更廣泛的受眾(包括威脅行為者)公開發佈建議之前加強其安全態勢,”該公司在發布的聲明中表示。
“我們還發布了相應的公共諮詢(FG-IR-24-423)重申緩解指南,包括解決方法和補丁更新。我們敦促客戶遵循提供的指南來實施解決方法和修復,並繼續跟踪我們的諮詢頁面以獲取更新。作為我們持續應對措施的一部分,我們將繼續與適當的國際政府機構和行業威脅組織進行協調。 ”
