SK-CERT Bezpečnostné varovanie V20241024-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| Fortinet FortiManager, FortiManager Cloud a FortiAnalyzer – kritická bezpečnostná zraniteľnosť |
| Popis |
| Spoločnosť Fortinet vydala bezpečnostné aktualizácie na produkty FortiManager a FortiManager Cloud, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Aktívne zneužívaná kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-47575 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov démona FGFMD a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Pre zneužitie predmetnej kritickej zraniteľnosti je potrebné aby útočník mal akýkoľvek platný certifikát zariadenia FortiGate, prostredníctvom ktorého zariadenie zaregistruje do FortiManager. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi. |
| Dátum prvého zverejnenia varovania |
| 23.10.2024 |
| CVE |
| CVE-2024-47575 |
| IOC |
| [email protected] Záznamy v logoch: type=event,subtype=dvm,pri=information,desc=“Device,manager,generic,information,log“,user=“device,…“,msg=“Unregistered device localhost add succeeded“ device=“localhost“ adom=“FortiManager“ session_id=0 operation=“Add device“ performed_on=“localhost“ changes=“Unregistered device localhost add succeeded“ type=event,subtype=dvm,pri=notice,desc=“Device,Manager,dvm,log,at,notice,level“,user=“System“,userfrom=““,msg=““ adom=“root“ session_id=0 operation=“Modify device“ performed_on=“localhost“ changes=“Edited device settings (SN FMG-VMTM23017412)“ IP adresy: 45.32.41[.]202 158.247.199[.]37 104.238.141[.]143 45.32.63[.]2 Sériové číslo: FMG-VMTM23017412 Súbory (nie sú prítomné vo všetkých prípadoch): /tmp/.tm /var/tmp/.tm |
| Zasiahnuté systémy |
| FortiManager 7.6 vo verzii staršej ako 7.6.1 FortiManager 7.4 vo verzii staršej ako 7.4.5 FortiManager 7.2 vo verzii staršej ako 7.2.8 FortiManager 7.0 vo verzii staršej ako 7.0.13 FortiManager 6.4 vo verzii staršej ako 6.4.15 FortiManager 6.2 vo verzii staršej ako 6.2.13 FortiManager Cloud 7.6 nie je zasiahnutá predmetnou zraniteľnosťou FortiManager Cloud 7.4 vo verzii staršej ako 7.4.5 FortiManager Cloud 7.2 vo verzii staršej ako 7.2.8 FortiManager Cloud 7.0 vo verzii staršej ako 7.0.13 FortiManager Cloud 6.4 vo všetkých verziách Zasiahnuté zariadenia bez platnej podpory (EoL): config system global s aspoň jedným rozhraním so službou fgfm |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. Výrobca odporúča pri obnove zariadení s použitím konfiguračných súborov overiť ich integritu a vylúčiť ich možnú kompromitáciu. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Pre dočasnú mitigáciu výrobca odporúča: – vypnúť FGFM – zabrániť neznámym zariadeniam registrovať sa vo FortiManager – zriadiť „whitelist“ s IP adresami zariadení FortiGates – použiť vlastný certifikát pre zariadenia FortiGate Pre aplikáciu záplat a mitigácií v produktoch odporúčame postupovať podľa pokynov výrobcu uvedených na webovej adrese: https://www.fortiguard.com/psirt/FG-IR-24-423 Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. |
« Späť na zoznam
