Fortinet ha confirmado los detalles de una falla de seguridad crítica que afecta a FortiManager y que ha sido explotada activamente en la naturaleza.
Registrada como CVE-2024-47575 (puntuación CVSS: 9,8), la vulnerabilidad también se conoce como FortiJump y tiene sus raíces en FortiGate to FortiManager (FGF) protocolo.
“Falta una autenticación para una vulnerabilidad de función crítica [CWE-306] en FortiManager, el demonio fgfmd puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes especialmente diseñadas”, la compañía dicho en un aviso del miércoles.
La deficiencia afecta las versiones 7.x, 6.x, FortiManager Cloud 7.x y 6.x de FortiManager. También afecta a los modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G y 3900E que tienen al menos una interfaz con el servicio fgfm habilitado y la siguiente configuración activada:
config system global set fmg-status enable end
Fortinet también ha proporcionado tres soluciones para la falla dependiendo de la versión actual de FortiManager instalada:
- Versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior, 7.4.3 o superior: evita que dispositivos desconocidos intenten registrarse
- Versiones de FortiManager 7.2.0 y superiores: agregue políticas de entrada local para incluir en la lista de direcciones IP de FortiGates que pueden conectarse
- Versiones de FortiManager 7.2.2 y superiores, 7.4.0 y superiores, 7.6.0 y superiores: use un certificado personalizado
Según runZero, una explotación exitosa requiere los atacantes debían estar en posesión de un certificado de dispositivo Fortinet válido, aunque señaló que dichos certificados podrían obtenerse de un dispositivo Fortinet existente y reutilizarse.
“Las acciones identificadas de este ataque en la naturaleza han sido automatizar mediante un script la exfiltración de varios archivos del FortiManager que contenían las IP, credenciales y configuraciones de los dispositivos administrados”, dijo la compañía.
Sin embargo, enfatizó que la vulnerabilidad no se ha utilizado como arma para implementar malware o puertas traseras en sistemas FortiManager comprometidos, ni hay evidencia de bases de datos o conexiones modificadas.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar el defecto a sus vulnerabilidades explotadas conocidas (KEV) catálogo, lo que requiere que las agencias federales apliquen las correcciones antes del 13 de noviembre de 2024.
Fortinet también compartió la siguiente declaración con The Hacker News:
Después de identificar esta vulnerabilidad (CVE-2024-47575), Fortinet comunicó rápidamente información y recursos críticos a los clientes. Esto está en línea con nuestros procesos y mejores prácticas de divulgación responsable para permitir a los clientes fortalecer su postura de seguridad antes de que se publique un aviso a una audiencia más amplia, incluidos los actores de amenazas. También hemos publicado un aviso público correspondiente (FG-IR-24-423) reiterando directrices de mitigación, incluidas una solución alternativa y actualizaciones de parches. Instamos a los clientes a seguir las instrucciones proporcionadas para implementar las soluciones y correcciones y continuar rastreando nuestra página de asesoramiento para obtener actualizaciones. Seguimos coordinándonos con las agencias gubernamentales internacionales apropiadas y las organizaciones de amenazas de la industria como parte de nuestra respuesta continua.