【漏洞通告】Fortinet FortiManager身份驗證不當漏洞(CVE-2024-47575)
發布時間 2024-10-24一、漏洞概述
漏洞名稱 | Fortinet FortiManager身份驗證不當漏洞 | ||
CVE ID | CVE-2024-47575 | ||
漏洞類型 | 缺少關鍵功能的身份驗證 | 發現時間 | 2024-10-24 |
漏洞評分 | 9.8 | 漏洞等級 | 高危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 無 |
PoC/EXP | 未公開 | 在野利用 | 已發現 |
Fortinet FortiManager 是 Fortinet 公司推出的一款用于集中管理多個Fortinet 設備(如FortiGate防火墻)的網絡安全管理解決方案,它為組織提供了一種高效管理其網絡安全基礎設施的方法,特別適用于多設備和分布式環境。
2024年10月24日,啟明星辰集團VSRC監測到Fortinet發布安全公告,修復了FortiManager中的一個身份驗證不當漏洞(CVE-2024-47575),其CVSS評分為9.8,目前該漏洞已檢測到在野利用,以竊取包含受管設備配置、IP地址和憑據的敏感文件。
FortiManager fgfmd守護進程中缺少關鍵功能的身份驗證,未經身份驗證的遠程攻擊者可以使用有效的 FortiGate 證書在 FortiManager 中注冊未授權設備,利用該漏洞在 FortiManager 上遠程執行任意命令或代碼,成功利用可能導致敏感信息泄露或完全控制托管設備和 FortiManager,進而進一步入侵整個網絡。
二、影響范圍
版本 | 影響范圍 | 修復版本 |
FortiManager 7.6 | 7.6.0 | 升級到7.6.1或更高版本 |
FortiManager 7.4 | 7.4.0 - 7.4.4 | 升級到7.4.5或更高版本 |
FortiManager 7.2 | 7.2.0 - 7.2.7 | 升級到7.2.8或更高版本 |
FortiManager 7.0 | 7.0.0 - 7.0.12 | 升級到7.0.13或更高版本 |
FortiManager 6.4 | 6.4.0 - 6.4.14 | 升級到6.4.15或更高版本 |
FortiManager 6.2 | 6.2.0 - 6.2.12 | 升級到6.2.13或更高版本 |
FortiManager Cloud 7.6 | 不受影響 | 無 |
FortiManager Cloud 7.4 | 7.4.1 - 7.4.4 | 升級到7.4.5或更高版本 |
FortiManager Cloud 7.2 | 7.2.1 - 7.2.7 | 升級到7.2.8或更高版本 |
FortiManager Cloud 7.0 | 7.0.1 - 7.0.12 | 升級到7.0.13或更高版本 |
FortiManager Cloud 6.4 | 6.4 所有版本 | 遷移到修復版本 |
此外,舊款FortiAnalyzer 設備型號(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)在啟用了FortiManager 功能的情況下,尤其是當在設備上通過以下命令啟用了 FortiManager 功能:
config system global
set fmg-status enable
end
同時,至少有一個接口啟用了 fgfm 服務(Fortinet 管理協議,FortiGate to FortiManager communication service)時,這些設備也會受到該漏洞的影響。
三、安全措施
3.1 升級版本
目前Fortinet已發布了該漏洞的修復程序,受影響用戶可參考上表并在更新可用時升級到相應修復版本。
鏈接:
https://docs.fortinet.com/product/fortimanager/7.6
3.2 臨時措施
根據所運行的版本,可升級到修復版本或使用以下緩解措施之一:
1.對于 FortiManager 7.0.12或更高版本、7.2.5或更高版本、7.4.3或更高版本(但不包括7.6.0),可通過阻止未知設備嘗試注冊:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
注意,啟用此設置后,如果FortiGate的SN不在設備列表中,FortiManager將在部署時阻止其連接到注冊,即使具有PSK的型號設備匹配。
2.或者,對于FortiManager 7.2.0 及以上版本,可以添加本地策略以將允許連接的 FortiGates 的IP地址列入白名單。
3.對于7.2.2 及以上版本、7.4.0 及以上版本、7.6.0 及以上版本,也可以使用自定義證書來緩解該漏洞:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
并在 FortiGates 上安裝該證書。只有此CA 才有效,這可以作為一種緩解方法,前提是攻擊者無法通過其他渠道獲取由此 CA 簽名的證書。
注意,對于FortiManager 6.2、6.4 和 7.0.11 及以下版本,請升級到上述版本之一并應用上述緩解措施。
3.3 通用建議
l 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
l 加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
l 使用企業級安全產品,提升企業的網絡安全性能。
l 加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
l 啟用強密碼策略并設置為定期修改。
3.4 參考鏈接
https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
https://www.fortiguard.com/psirt/FG-IR-24-423
四、版本信息
版本 | 日期 | 備注 |
V1.0 | 2024-10-24 | 首次發布 |
五、附錄
5.1 公司簡介
啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。
公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)
多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。
5.2 關于我們
啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。
關注我們: