A Fortinet confirmou detalhes de uma falha crítica de segurança que afeta o FortiManager e que está sob exploração ativa.
Rastreada como CVE-2024-47575 (pontuação CVSS: 9,8), a vulnerabilidade também é conhecida como FortiJump e está enraizada no protocolo FortiGate to FortiManager (FGFM).
“Uma autenticação ausente para vulnerabilidade de função crítica (CWE-306) no daemon FortiManager fgfmd pode permitir que um invasor remoto não autenticado execute códigos ou comandos arbitrários por meio de solicitações especialmente criadas”, disse a empresa em um comunicado de quarta-feira.
A deficiência afeta as versões 7.x, 6.x, FortiManager Cloud 7.x e 6.x do FortiManager. Também afeta modelos antigos do FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G e 3900E que possuem pelo menos uma interface com o serviço fgfm habilitado e a configuração abaixo ativada –
config system world set fmg-status allow finish
A Fortinet também forneceu duas soluções alternativas para a falha, dependendo da versão atual do FortiManager instalada –
- FortiManager versões 7.0.12 ou superior, 7.2.5 ou superior, 7.4.3 ou superior: Impedir que dispositivos desconhecidos tentem se registrar
- FortiManager versões 7.2.0 e superiores: Adicione políticas locais para listar os endereços IP do FortiGates que têm permissão para se conectar
- FortiManager versões 7.2.2 e superior, 7.4.0 e superior, 7.6.0 e superior: use um certificado personalizado
De acordo com a runZero, uma exploração bem-sucedida exige que os invasores possuam um certificado de dispositivo Fortinet válido, embora tenha observado que tais certificados poderiam ser obtidos de um dispositivo Fortinet existente e reutilizados.
“As ações identificadas deste ataque foram automatizar através de um script a exfiltração de vários arquivos do FortiManager que continham os IPs, credenciais e configurações dos dispositivos gerenciados”, disse a empresa.
No entanto, enfatizou que a vulnerabilidade não foi transformada em arma para implantar malware ou backdoors em sistemas FortiManager comprometidos, nem há qualquer evidência de bancos de dados ou conexões modificados.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar o defeito ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais aplicassem as correções até 13 de novembro de 2024.
A Fortinet também compartilhou a declaração abaixo com o The Hacker Information –
Depois de identificar esta vulnerabilidade (CVE-2024-47575), a Fortinet comunicou prontamente informações e recursos críticos aos clientes. Isto está alinhado com os nossos processos e melhores práticas de divulgação responsável, para permitir que os clientes fortaleçam a sua postura de segurança antes de um comunicado ser divulgado publicamente para um público mais amplo, incluindo agentes de ameaças. Também publicamos um comunicado público correspondente (FG-IR-24-423) reiterando orientações de mitigação, incluindo uma solução alternativa e atualizações de patches. Pedimos aos clientes que sigam as orientações fornecidas para implementar soluções alternativas e correções e que continuem acompanhando nossa página de aconselhamento para atualizações. Continuamos a coordenar-nos com as agências governamentais internacionais apropriadas e organizações que ameaçam a indústria como parte da nossa resposta contínua.
