网络安全公司 Fortinet 已确认,FortiManager 设备中的一个关键安全漏洞据报道已被广泛利用。
该严重漏洞被称为 CVE-2024-47575(CVSS 评分:9.8),也称为 FortiJump,源自 FortiManager 和 FortiManager Cloud 中的 FortiGate 到 FortiManager (FGFM) 协议。
“FortiManager fgfmd 守护进程中缺少关键功能漏洞 [CWE-306] 的身份验证,这可能允许未经身份验证的远程攻击者通过特制请求执行任意命令或代码,该公司在一份报告中解释道。安全咨询周三发布了其 FortiManager 平台。
该公司指出:“报告显示该漏洞可能被广泛利用。”
此外,以下多个版本的FortiManager以及基于云的FortiManager Cloud受到该漏洞的影响:
- FortiManager 7.6(7.6.1 之前的版本)
- FortiManager 7.4(版本 7.4.0 至 7.4.4)
- FortiManager 7.2(版本 7.2.0 至 7.2.7)
- FortiManager 7.0(版本 7.0.0 至 7.0.12)
- FortiManager 6.4(版本 6.4.0 至 6.4.14)
- FortiManager 6.2(版本 6.2.0 至 6.2.12)
- FortiManager Cloud 7.4(版本 7.4.1 至 7.4.4)
- FortiManager Cloud 7.2(版本 7.2.1 至 7.2.7)
- FortiManager Cloud 7.0(版本 7.0.1 至 7.0.12)
- FortiManager Cloud 6.4(版本 6.4 所有版本)
除上述版本外,该漏洞还影响旧版 FortiAnalyzer 型号 1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G 和 3900E,这些型号至少有一个启用了 fgfm 服务的接口并具有以下功能启用(FortiAnalyzer 上的 FortiManager):
配置系统全局
设置 fmg 状态启用
结尾
鉴于该漏洞的严重性,Fortinet 建议受影响的用户立即采取行动,并尽快升级到通报中概述的修复版本。
或者,用户可以使用以下任一解决方法来缓解该缺陷,具体取决于当前安装的 FortiManager 版本:
- 对于 FortiManager,版本 7.0.12 或更高版本、7.2.5 或更高版本以及 7.4.3 或更高版本(但不包括 7.6.0)可防止未知设备尝试注册。
- 对于 FortiManager 7.2.0 及更高版本,您可以添加本地策略以将允许连接的 FortiGates IP 地址列入白名单。
- 使用自定义证书可以缓解 FortiManager 版本 7.2.2 及更高版本、7.4.0 及更高版本以及 7.6.0 及更高版本的问题。
FortiManager仅发布了7.2.8和7.4.5版本,其余版本预计将在未来几天发布。
该公司还共享了一组可能的妥协指标 (IoC),例如与恶意活动相关的日志条目、特定 IP 地址、序列号和文件(可能不会在所有情况下出现)。
据报道,该公司于 2024 年 10 月 13 日开始私下向 FortiManager 客户发出有关 FortiManager 漏洞的警报。
“识别此漏洞后(CVE-2024-47575),Fortinet 及时向客户传达关键信息和资源。这符合我们负责任披露的流程和最佳实践,使客户能够在向更广泛的受众(包括威胁行为者)公开发布建议之前加强其安全态势,”该公司在发布的声明中表示。
“我们还发布了相应的公共咨询(FG-IR-24-423)重申缓解指南,包括解决方法和补丁更新。我们敦促客户遵循提供的指南来实施解决方法和修复,并继续跟踪我们的咨询页面以获取更新。作为我们持续应对措施的一部分,我们将继续与适当的国际政府机构和行业威胁组织进行协调。”
