Vulnerabilidad

Vulnerabilidad crítica en FortiManager

28/10/2024
Fortinet publicó recientemente una vulnerabilidad crítica que afecta al producto FortiManager denominada “FortiJump”. Esta vulnerabilidad, identificada como CVE-2024-47575 (CVSS:3.1=9.8), permite una ejecución de código arbitrario de forma remota (RCE) en las versiones de FortiManager afectadas.
Fortinet

Existen explotación activa de esta vulnerabilidad para robar archivos confidenciales que contienen configuraciones, direcciones IP y credenciales.

Detalles técnicos

La vulnerabilidad surge debido a la falta de autenticación para una función crítica en el demonio fgfmd de FortiManager que podría permitir a un atacante remoto, no autenticado, ejecutar código o comandos arbitrarios a través de solicitudes maliciosas.

Productos afectados

  • FortiManager (versiones 7.6.0, 7.4.0 a 7.4.4, 7.2.0 a 7.2.7, 7.0.0 a 7.0.12,  6.4.0 a 6.4.14, 6.2.0 a 6.2.12).

  • FortiManager Cloud (versiones 7.4.1 a 7.4.4, 7.2.1 a 7.2.7, 7.0.1 a 7.0.12, 6.4 todas las versiones).

  • Función habilitada FortiManager en Forti Analyzer modelos 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700G, 3900E.

Remediación

Es posible remediar las vulnerabilidades actualizando a las versiones más recientes proporcionadas por Fortinet.

Mitigación

Mientras se implementa la actualización, se recomienda:

  1. En caso que los datos puedan haber sido exfiltrados de la base de datos FortiManager, realizar un cambio de credenciales.

  2. Para las instalaciones de VM, la recuperación puede facilitarse manteniendo una copia de la FortiManager en una red aislada sin conexión a Internet, así como configurarla en modo sin conexión y funcionamiento del modo de red cerrada. Este sistema puede ser utilizado para comparar con el nuevo que se configurará en paralelo.
  • config system admin setting
  • set offline_mode enable
  • end
  • config fmupdate publicnetwork
  • set status disable
  • end

Indicadores de Compromisos (IoC)

Log entries
  • type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...", msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager"  session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
  • type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System", userfrom="",msg="" adom="root" session_id=0 operation="Modify device" performed_on="localhost"  changes="Edited device settings (SN FMG-VMTM23017412)"
IP addresses
  • 45.32.41.202
  • 104.238.141.143
  • 158.247.199.37
  • 45.32.63.2
Serial Number
  • FMG-VMTM23017412
Archivos
  • /tmp/.tm
  • /var/tmp/.tm

Recomendaciones

Se insta actualizar a la última versión disponible y analizar trazas de auditoría en búsqueda de explotación.

Enlaces relacionados

Etiquetas

Amenazas y alertas Gestión de ciberseguridad Comunidad Técnica