A Fortinet megerősítette a FortiManager tűzfalkezelő szoftver nulladik napi sebezhetőségét, amelyet CVE-2024-47575 azonosítóval láttak el, és jelenleg aktívan kihasználják. Ezt a hibát egy távoli, hitelesítetlen támadó kihasználhatja, veszélybe sodorva számos felhasználót, beleértve a felügyelt szolgáltatókat (MSP-k) és kormányzati ügyfeleket is.
A Fortinet szerint a támadók automatizált szkripteket használnak, hogy érzékeny adatokat nyerjenek ki a FortiManager rendszerekből. Ezek a fájlok olyan fontos információkat tartalmaznak, mint az IP-címek, hitelesítő adatok és a felügyelt eszközök konfigurációi. A vállalat ugyanakkor megjegyezte, hogy eddig nem találtak bizonyítékot a rendszer szintjén telepített rosszindulatú programokra vagy hátsó ajtókra.
FortiManager sebezhetőség: CVE-2024-47575
A FortiManager a FortiGate tűzfalak kezelésére szolgál, és az 541-es porton működik. Kevin Beaumont biztonsági kutató által végzett keresés több mint 60 000 FortiManager példányt tárt fel, amelyek online hozzáférhetők. Beaumont rámutatott több hibára a Fortinet megvalósításában, megjegyezve, hogy alapértelmezés szerint a FortiManager bármilyen eszközt, még az ismeretlen sorozatszámmal rendelkezőket is automatikusan regisztrálja és kezeli.
A Fortinet létrehozta a ‘FortiGate to FortiManager Protocol’ (FGFM) protokollt, hogy a vállalatok egyszerűen telepíthessék a FortiGate tűzfal eszközöket, és azok regisztrálhassanak egy távoli FortiManager szerverhez, így központi helyről kezelhetők.
A FortiGate to FortiManager (FGFM) protokollt kifejezetten a FortiGate és FortiManager telepítési forgatókönyvekhez tervezték, különösen ott, ahol NAT-ot használnak.
Ezek a forgatókönyvek magukban foglalják, hogy a FortiManager a nyilvános interneten található, míg a FortiGate egység NAT mögött van, a FortiGate egység a nyilvános interneten található, míg a FortiManager NAT mögött van, vagy mind a FortiManager, mind a FortiGate egység rendelkezik útválasztható IP-címekkel.
A Fortinet több intézkedést javasolt a kockázat csökkentése és annak biztosítása érdekében, hogy a FortiManager konfigurációi ne kerüljenek veszélybe.
Ezek közé tartozik:
- Az adatbázis újraépítése vagy az eszközkonfigurációk újraszinkronizálása ADOM szinten.
- Egy új FortiManager virtuális gép telepítése vagy a hardver újrainicializálása, majd a felügyelt eszközök újrafelvétele.
- Olyan biztonsági mentés visszaállítása, amelyet a veszélyjeleket (IoC-k) jelző események felfedezése előtt készítettek.
