Table of Contents
Vulnerabilidade Crítica no FortiManager: CVE-2024-47575
A Fortinet confirmou detalhes sobre uma vulnerabilidade crítica que impacta o FortiManager, a qual está sendo explorada ativamente no ambiente digital. Classificada como CVE-2024-47575 e com uma pontuação CVSS de 9.8, a vulnerabilidade é também conhecida como FortiJump e é originada no protocolo de comunicação entre FortiGate e FortiManager (FGFM).
Detalhes da Vulnerabilidade
“Uma vulnerabilidade de *ausência de autenticação para funções críticas* [CWE-306] no daemon fgfmd do FortiManager pode permitir que um atacante remoto não autenticado execute código ou comandos arbitrários por meio de requisições especialmente elaboradas,” afirmou a empresa em um alerta publicado na quarta-feira.
Essa falha afeta as versões do FortiManager 7.x, 6.x, bem como o FortiManager Cloud 7.x e 6.x. Modelos antigos do FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G e 3900E também estão sob risco, desde que possuam pelo menos uma interface com o serviço fgfm habilitado e a seguinte configuração:
config system global set fmg-status enable end
Contramedidas Recomendadas
A Fortinet disponibilizou três soluções alternativas para mitigar a vulnerabilidade, de acordo com a versão do FortiManager instalada:
- FortiManager versões 7.0.12 ou superiores, 7.2.5 ou superiores, 7.4.3 ou superiores: Prevenir dispositivos desconhecidos de tentarem registrar.
- FortiManager versões 7.2.0 e superiores: Adicionar políticas de local-in para permitir apenas os endereços IP dos FortiGates autorizados a conectar.
- FortiManager versões 7.2.2 e superiores, 7.4.0 e superiores, 7.6.0 e superiores: Usar um certificado personalizado.
Conforme informações do runZero, uma exploração bem-sucedida requer que os atacantes possuam um certificado de dispositivo Fortinet válido, totalizando que tais certificados podem ser obtidos e reutilizados a partir de um dispositivo Fortinet já existente.
Impacto e Consequências
A ação típica dos atacantes identificados nesse cenário inclui a automação, via scripts, da exfiltração de diversos arquivos do FortiManager, os quais contêm informações sensíveis como endereços IPs, credenciais e configurações dos dispositivos geridos.
No entanto, a empresa enfatizou que a vulnerabilidade não tem sido utilizada para implantar malware ou backdoors em sistemas do FortiManager comprometidos, e não há evidências de bancos de dados ou conexões modificadas.
Reação da CISA e Medidas de Correção
A situação levou a Cybersecurity and Infrastructure Security Agency dos Estados Unidos (CISA) a adicionar a vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), solicitando que agências federais apliquem as correções até 13 de novembro de 2024.
Declaração da Fortinet
A Fortinet compartilhou a seguinte declaração com o The Hacker News:
Após identificar esta vulnerabilidade (CVE-2024-47575), a Fortinet comunicou prontamente informações e recursos críticos para os clientes. Isso está alinhado com nossos processos e melhores práticas para divulgação responsável, visando permitir que os clientes fortaleçam sua postura de segurança antes que um aviso seja liberado publicamente para um público mais amplo, incluindo agentes de ameaça. Também publicamos um aviso público correspondente (FG-IR-24-423) reiterando orientações de mitigação, incluindo uma solução alternativa e atualizações de patches. Pedimos aos clientes que sigam as orientações fornecidas para implementar as soluções alternativas e correções, e que continuem acompanhando nossa página de avisos para atualizações. Continuamos a coordenar com as agências governamentais internacionais apropriadas e organizações de ameaças da indústria como parte de nossa resposta em andamento.
#Fortinet, #CVE202447575, #SegurançaCibernética, #Vulnerabilidades, #FortiManager, #CISA, #SegurançaDaInformação, #Exploits