【 資安警訊 】- Fortinet 網路設備管理平臺 API 漏洞出現零時差攻擊
發布編號:OIS-CTI-2024-10-005
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
本週 Fortinet 發布資安公告,揭露 FortiManager 重大漏洞 CVE-2024-47575,並指出已經出現有人實際在攻擊行動嘗試利用的情形,呼籲 IT 人員儘速採取行動因應
10 月 23 日資安業者 Fortinet 發布資安公告,指出旗下的網路設備管理平臺 FortiManager 存在重大漏洞 CVE-2024-47575,本地建置及雲端版本皆受到影響,而且,他們已掌握用於實際攻擊行動的情況,呼籲用戶儘速套用相關更新。
這項漏洞存在於名為 fgfmd 的系統元件,起因是重要功能缺乏身分驗證,導致攻擊者有機會在未經身分驗證的情況下,藉由發送偽造請求,遠端執行任意程式碼或命令,CVSS 風險評分達到 9.8。該漏洞影響本地建置 6.2.0 至 7.6.0 版、雲端版 6.4 至 7.4.4 版的 FortiManager,該公司推出新版程式修補。
附帶一提的是,他們也提及,部分網路分析設備 FortiAnalyzer 提供的相關功能模組
(FortiManager on FortiAnalyzer),也同樣存在這項弱點而曝險。
若是 IT 人員無法即時套用更新,Foritnet 也提出臨時緩解措施,IT 人員可透過防止未知設備嘗試註冊,或是將防火牆設備 FortiGate 的 IP 位址列入白名單的方式因應。
值得留意的是,根據資安新聞網站 Bleeping Computer 的報導,Fortinet 在 10 天前(10 月13日)就透過電子郵件通知用戶此事,後續也有用戶反映,這項漏洞似乎已被利用一段時間,有企業收到 Fortinet 通知的前一週就遭到攻擊,當時 IT 人員推測這是零時差漏洞。
資安專家 Kevin Beaumont 也於 10 月 13 日在社群網站 Mastodon 提出警告,要 IT 人員留意Fortinet 支援網站,以便在第一時間取得與該漏洞有關更新;若是 FortiManager 可透過網際網路存取,他認為最好先暫時中斷連線因應。
後來 Beaumont 透過 Medium 部落格文章再度警告此事,並將這項漏洞命名為 FortiJump。
根據調查,他認為該漏洞存在於防火牆與 FortiManage r之間的通訊協定 FortiGate to FortiManager(FGFM),並指出透過該通訊協定使用的 541 埠,在物聯網搜尋引擎 Shodan 可以找到 59,720 臺能經由網際網路存取的 FortiManager。而根據惡意軟體分析平臺 VirusTotal 收到的通報,已有 3 個 IP 位址嘗試利用漏洞,這些 IP 位址分別位於美國、韓國、日本。
不過,想要利用這項漏洞還是有先決條件,Beaumont 表示攻擊者必須事先取得有效的帳密資料,但難度不高,因為只要能透過防火牆設備就有機會取得並重覆利用。
而對於這項漏洞的危害,他認為由於 FGFM 的運作方式能夠穿越 NAT,若是攻擊者成功入侵受到控管的 FortiGate,有機會穿越到 FortiManager,並存取其他防火牆及網路環境。
影響設備:
Fortinet
影響型號:
FortiManager
FortiManager Cloud
官方建議措施:
FortiManager 7.6 升級到 7.6.1 或更高版本
FortiManager 7.4 升級到 7.4.5 或更高版本
FortiManager 7.2 升級到 7.2.8 或更高版本
FortiManager 7.0 升級到 7.0.13 或更高版本
FortiManager 6.4 升級到 6.4.15 或更高版本
FortiManager 6.2 升級到 6.2.13 或更高版本
FortiManager Cloud 7.6 不受影響
FortiManager Cloud 7.4 升級到 7.4.5 或更高版本
FortiManager Cloud 7.2 升級到 7.2.8 或更高版本
FortiManager Cloud 7.0 升級到 7.0.13 或更高版本
FortiManager Cloud 6.4 遷移至固定版本
參考連結:
https://www.ithome.com.tw/news/165661