FortiManager Critical CVE-2024-47575 “FortiJump” 允许远程代码执行
摘要
2024年10月23日,Fortinet发布关于CVE-2024-47575的安全公告,这是一个影响FortiManager的严重级别零日漏洞。FortiManager fgfmd守护进程中关键功能的认证缺失可能允许远程未经认证的攻击者执行命令或任意代码。此漏洞被命名为"FortiJump",在野外利用中已被观察到作为自动化从目标FortiManager实例中提取文件(包含IP、凭据和设备配置)的前兆。虽然野外利用已被观察到(根据Google Mandiant,最早可追溯至今年6月27日),但在撰写本文时尚未公开概念验证。
受影响系统和/或应用
以下FortiManager版本受影响:
| 版本 | 受影响 | 解决方案 |
|---|---|---|
| FortiManager 7.6 | 7.6.0 | 升级至7.6.1或更高 |
| FortiManager 7.4 | 7.4.0至7.4.4 | 升级至7.4.5或更高 |
| FortiManager 7.2 | 7.2.0至7.2.7 | 升级至7.2.8或更高 |
| FortiManager 7.0 | 7.0.0至7.0.12 | 升级至7.0.13或更高 |
| FortiManager 6.4 | 6.4.0至6.4.14 | 升级至6.4.15或更高 |
| FortiManager 6.2 | 6.2.0至6.2.12 | 升级至6.2.13或更高 |
| FortiManager Cloud 7.6 | 不受影响 | 不适用 |
| FortiManager Cloud 7.4 | 7.4.1至7.4.4 | 升级至7.4.5或更高 |
| FortiManager Cloud 7.2 | 7.2.1至7.2.7 | 升级至7.2.8或更高 |
| FortiManager Cloud 7.0 | 7.0.1至7.0.12 | 升级至7.0.13或更高 |
| FortiManager Cloud 6.4 | 所有6.4版本 | 迁移至修复版本 |
启用以下功能的旧版FortiAnalyzer型号(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)也受此漏洞影响(FortiAnalyzer上的FortiManager功能):
|
|
并且至少有一个启用了fgfm服务的接口。
技术细节/攻击概述
使用任何有效的FortiGate证书(可从攻击者控制的FortiManager或FortiGate设备获取),攻击者可以注册到任何互联网可访问的FortiManager服务器,即使恶意设备处于未授权状态,也可以执行API命令,从而检索有关托管设备的敏感配置数据,以及用户和FortiOS256哈希密码。此信息可用于进一步危害FortiManager、横向移动到合法托管设备,并最终访问企业环境。
在Mandiant观察到的活动中,以下文件被压缩为名为/tmp/.tm的Gzip存档,并可能通过HTTPS传输到外部主机:
| 文件名 | 描述 |
|---|---|
| /var/dm/RCS | 包含托管FortiGate设备配置文件的文件夹 |
| /var/dm/RCS/revinfo.db | 包含托管FortiGate设备附加信息的数据库 |
| /var/fds/data/devices.txt | 包含FortiGate序列号及其对应IP地址的列表 |
| /var/pm2/global.db | 包含对象配置、策略包以及IPS标头和页脚传感器配置的全局数据库 |
| /var/old_fmversion | 包含当前FortiManager版本、构建和分支信息 |
威胁参与者利用后活动
Mandiant已发现超过50个"各行业可能受感染的FortiManager设备",并将观察到的野外利用活动归因于新的威胁集群UNC5820。然而,有趣的是,Mandiant未观察到泄露信息被用于进一步访问受影响环境的迹象,因此无法确定攻击者的动机或位置。
缓解措施
除了从相应的"受影响"版本升级到"解决方案"版本以进行缓解外,Fortinet在其公告中提供了多种解决方法。
对于FortiManager版本7.0.12或更高、7.2.5或更高、7.4.3或更高(但不包括7.6.0),防止未知设备尝试注册:
|
|
(警告:启用此设置后,请注意,如果FortiGate的SN不在设备列表中,FortiManager将阻止其在部署时连接注册,即使具有PSK的模型设备匹配。)
或者,对于FortiManager版本7.2.0及更高版本,您可以添加入站策略以白名单允许连接的FortiGate的IP地址。示例:
|
|
对于7.2.2及更高版本、7.4.0及更高版本、7.6.0及更高版本,也可以使用自定义证书来缓解问题:
|
|
并将该证书安装在FortiGate上。只有此CA有效,这可以作为解决方法,前提是攻击者无法通过替代渠道获取由此CA签名的证书。
网络融合中心的行动
CFC将继续监控情况,并在需要时发送公告更新。具有漏洞扫描服务的客户将在扫描提供商提供相关插件后,如果在扫描范围内发现关键漏洞,将收到相关结果。
参考
- https://www.fortiguard.com/psirt/FG-IR-24-423
- https://www.helpnetsecurity.com/2024/10/24/cve-2024-47575/
- https://www.rapid7.com/blog/post/2024/10/23/etr-fortinet-fortimanager-cve-2024-47575-exploited-in-zero-day-attacks/
- https://www.tenable.com/blog/cve-2024-47575-faq-about-fortijump-zero-day-in-fortimanager-fortimanager-cloud
- https://www.tenable.com/plugins/nessus/209559
- https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/
- https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/
- https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/