Fortinet ha confirmado detalles de una vulnerabilidad de seguridad crítica que afecta a FortiManager y que está siendo explotada activamente en la naturaleza.
Registrada como CVE-2024-47575 (puntuación CVSS: 9,8), la vulnerabilidad también se conoce como FortiJump y tiene su origen en FortiGate to FortiManager (FGF) protocolo.
“Falta autenticación para vulnerabilidad de función crítica [CWE-306] En FortiManager, el demonio fgfmd puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas”, dijo la compañía. dicho en un aviso del miércoles.
La falla afecta a las versiones 7.x, 6.x, FortiManager Cloud 7.x y 6.x de FortiManager. Esto también afecta a los modelos anteriores de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G y 3900E que tienen al menos una interfaz con el servicio fgfm habilitado y la siguiente configuración activada:
config system global set fmg-status enable end
Fortinet también proporcionó dos soluciones para la falla dependiendo de la versión actual de FortiManager instalada:
- Versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior, 7.4.3 o superior: evita que dispositivos desconocidos intenten registrarse
- Versiones de FortiManager 7.2.0 y superiores: agregue políticas de ingreso locales para permitir que la lista de direcciones IP de FortiGates se puedan conectar
- Versiones de FortiManager 7.2.2 y superiores, 7.4.0 y superiores, 7.6.0 y superiores: use un certificado personalizado
Según runZero, explotación exitosa necesidad los atacantes estaban en posesión de un certificado de dispositivo Fortinet válido, aunque se observó que dichos certificados podían obtenerse de un dispositivo Fortinet existente y reutilizarse.
“Las acciones identificadas de este ataque salvaje consistieron en automatizar mediante script la exfiltración de varios archivos de FortiManager que contenían las direcciones IP, credenciales y configuraciones de los dispositivos administrados”, dijo la compañía.
Sin embargo, destacó que la vulnerabilidad no se utilizó para implementar malware o puertas traseras en sistemas FortiManager comprometidos, y que no hay evidencia de bases de datos o conexiones alteradas.
Este desarrollo llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la falla de sus vulnerabilidades explotadas conocidas (K.E.V.), exigiendo a las agencias federales que implementen las correcciones antes del 13 de noviembre de 2024.
Fortinet también compartió la siguiente declaración con The Hacker News:
Después de identificar esta vulnerabilidad (CVE-2024-47575), Fortinet comunicó rápidamente información y recursos críticos a los clientes. Esto es coherente con nuestros procesos y mejores prácticas de divulgación responsable para permitir a los clientes fortalecer su postura de seguridad antes de que un aviso se haga público a un público más amplio, incluidos los actores maliciosos. También hemos publicado el aviso público correspondiente (FG-IR-24-423) reiterando consejos de mitigación, incluida una solución alternativa y actualizaciones de parches. Alentamos a los clientes a seguir las instrucciones proporcionadas para implementar soluciones alternativas y correcciones y continuar siguiendo nuestra página de orientación para obtener actualizaciones. Continuamos coordinándonos con agencias gubernamentales internacionales apropiadas y organizaciones de amenazas de la industria como parte de nuestra respuesta continua.