【漏洞通告】Fortinet FortiManager身份验证不当漏洞(CVE-2024-47575)
发布时间 2024-10-24一、漏洞概述
漏洞名称 | Fortinet FortiManager身份验证不当漏洞 | ||
CVE ID | CVE-2024-47575 | ||
漏洞类型 | 缺少关键功能的身份验证 | 发现时间 | 2024-10-24 |
漏洞评分 | 9.8 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 无 |
PoC/EXP | 未公开 | 在野利用 | 已发现 |
Fortinet FortiManager 是 Fortinet 公司推出的一款用于集中管理多个Fortinet 设备(如FortiGate防火墙)的网络安全管理解决方案,它为组织提供了一种高效管理其网络安全基础设施的方法,特别适用于多设备和分布式环境。
2024年10月24日,启明星辰集团VSRC监测到Fortinet发布安全公告,修复了FortiManager中的一个身份验证不当漏洞(CVE-2024-47575),其CVSS评分为9.8,目前该漏洞已检测到在野利用,以窃取包含受管设备配置、IP地址和凭据的敏感文件。
FortiManager fgfmd守护进程中缺少关键功能的身份验证,未经身份验证的远程攻击者可以使用有效的 FortiGate 证书在 FortiManager 中注册未授权设备,利用该漏洞在 FortiManager 上远程执行任意命令或代码,成功利用可能导致敏感信息泄露或完全控制托管设备和 FortiManager,进而进一步入侵整个网络。
二、影响范围
版本 | 影响范围 | 修复版本 |
FortiManager 7.6 | 7.6.0 | 升级到7.6.1或更高版本 |
FortiManager 7.4 | 7.4.0 - 7.4.4 | 升级到7.4.5或更高版本 |
FortiManager 7.2 | 7.2.0 - 7.2.7 | 升级到7.2.8或更高版本 |
FortiManager 7.0 | 7.0.0 - 7.0.12 | 升级到7.0.13或更高版本 |
FortiManager 6.4 | 6.4.0 - 6.4.14 | 升级到6.4.15或更高版本 |
FortiManager 6.2 | 6.2.0 - 6.2.12 | 升级到6.2.13或更高版本 |
FortiManager Cloud 7.6 | 不受影响 | 无 |
FortiManager Cloud 7.4 | 7.4.1 - 7.4.4 | 升级到7.4.5或更高版本 |
FortiManager Cloud 7.2 | 7.2.1 - 7.2.7 | 升级到7.2.8或更高版本 |
FortiManager Cloud 7.0 | 7.0.1 - 7.0.12 | 升级到7.0.13或更高版本 |
FortiManager Cloud 6.4 | 6.4 所有版本 | 迁移到修复版本 |
此外,旧款FortiAnalyzer 设备型号(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)在启用了FortiManager 功能的情况下,尤其是当在设备上通过以下命令启用了 FortiManager 功能:
config system global
set fmg-status enable
end
同时,至少有一个接口启用了 fgfm 服务(Fortinet 管理协议,FortiGate to FortiManager communication service)时,这些设备也会受到该漏洞的影响。
三、安全措施
3.1 升级版本
目前Fortinet已发布了该漏洞的修复程序,受影响用户可参考上表并在更新可用时升级到相应修复版本。
链接:
https://docs.fortinet.com/product/fortimanager/7.6
3.2 临时措施
根据所运行的版本,可升级到修复版本或使用以下缓解措施之一:
1.对于 FortiManager 7.0.12或更高版本、7.2.5或更高版本、7.4.3或更高版本(但不包括7.6.0),可通过阻止未知设备尝试注册:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
注意,启用此设置后,如果FortiGate的SN不在设备列表中,FortiManager将在部署时阻止其连接到注册,即使具有PSK的型号设备匹配。
2.或者,对于FortiManager 7.2.0 及以上版本,可以添加本地策略以将允许连接的 FortiGates 的IP地址列入白名单。
3.对于7.2.2 及以上版本、7.4.0 及以上版本、7.6.0 及以上版本,也可以使用自定义证书来缓解该漏洞:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
并在 FortiGates 上安装该证书。只有此CA 才有效,这可以作为一种缓解方法,前提是攻击者无法通过其他渠道获取由此 CA 签名的证书。
注意,对于FortiManager 6.2、6.4 和 7.0.11 及以下版本,请升级到上述版本之一并应用上述缓解措施。
3.3 通用建议
l 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
l 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
l 使用企业级安全产品,提升企业的网络安全性能。
l 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
l 启用强密码策略并设置为定期修改。
3.4 参考链接
https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
https://www.fortiguard.com/psirt/FG-IR-24-423
四、版本信息
版本 | 日期 | 备注 |
V1.0 | 2024-10-24 | 首次发布 |
五、附录
5.1 公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工6000余人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
5.2 关于我们
启明星辰安全应急响应中心已发布1000多个漏洞通告和风险预警,我们将持续跟踪全球最新的网络安全事件和漏洞,为企业的信息安全保驾护航。
关注我们:
京公网安备11010802024551号