Beschreibung:
Der Hersteller Fortigate warnte am 23.Oktober 2024 vor einer kritischen Sicherheitslücke(CVE-2024-47575), die in ihrem Produkt FortiManager entdeckt wurde. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebigen Code oder Befehle auszuführen. Die Ursache für die Schwachstelle liegt in einer fehlenden Authentifizierung für eine kritische Funktion im fgfmd-Daemon von Fortimanager.
Betroffene Systeme:
FortiManager 7.6 - 7.6.0 FortiManager 7.4 - 7.4.0 bis 7.4.4 FortiManager 7.2 - 7.2.0 bis 7.2.7 FortiManager 7.0 - 7.0.0 bis 7.0.12 FortiManager 6.4 - 6.4.0 bis 6.4.14 FortiManager 6.2 - 6.2.0 bis 6.2.12 FortiManager Cloud 7.6 - nicht Betroffen FortiManager Cloud 7.4 - 7.4.1 bis 7.4.4 FortiManager Cloud 7.2 - 7.2.1 bis 7.2.7 FortiManager Cloud 7.0 - 7.0.1 bis 7.0.12
Behobene Versionen:
FortiManager 7.6 - Update auf 7.6.1 oder höher FortiManager 7.4 - Update auf7.4.5 oder höher FortiManager 7.2 - Update auf 7.2.8 oder höher FortiManager 7.0 - Update auf 7.0.13 oder höher FortiManager 6.4 - Update auf 6.4.15 oder höher FortiManager 6.2 - Update auf 6.2.13 oder höher FortiManager Cloud 7.4 - Update auf 7.4.5 oder höher FortiManager Cloud 7.2 - Update auf 7.2.8 oder höher FortiManager Cloud 7.0 - Update auf 7.0.13 oder höher
Empfohlene Maßnahmen:
Fortinet hat Updates veröffentlicht, die die Schwachstelle beheben. Betroffene Systeme sollten dringend auf die oben angeführten Versionen aktualisiert werden.
Einschätzung der Bedrohung:
Fortinet bestätigt in seiner Meldung auch, dass CVE-2024-47575 bereits aktiv ausgenutzt wird und liefert mehrere IoCs (Indicators of Compromise), die auf entsprechende Angriffe hindeuten – darunter Protokolleinträge, IP-Adressen und von den Angreifern erzeugte Dateien Die CISA führt diese Schwachstelle im "Known exploited vulnerabilities" Katalog, es liegen somit bestätigte Fälle vor, dass die Schwachstelle bereits aktiv ausgenutzt wird. Es gibt bereits veröffentlichten Schadcode der auch aktiv von Hackergruppen (UNC5820) eingesetzt wird. Anhand dieser Faktoren schätzt ACP die Bedrohungslage als hoch ein und Updates sollten mit Priorität umgesetzt werden. Indicators of Compromise The following are possible IoCs: Log entries type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded" type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)" IP addresses 45.32.41.202 104.238.141.143 158.247.199.37 45.32.63.2 Serial Number FMG-VMTM23017412 Files /tmp/.tm /var/tmp/.tm Note that file IoCs may not appear in all cases.
Weiterführende Informationen:
https://fortiguard.fortinet.com/psirt/FG-IR-24-423
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en