Update #1 Kritische Zero-Day Schwachstelle in FortiManager wird aktiv ausgenutzt - Update verfügbar

24. Oktober 2024

Beschreibung

In FortiManager wurde eine kritische Sicherheitslücke entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebigen Code oder Befehle auszuführen.

CVE-Nummer(n): CVE-2024-47575

CVSS Base Score: 9.8

Auswirkungen

Ein nicht authentifizierter Angreifer kann über speziell präparierte Anfragen beliebigen Code oder Befehle auf dem betroffenen FortiManager-System ausführen. Die Schwachstelle wird bereits seit Juni 2024 aktiv ausgenutzt, um Konfigurationsdaten von verwalteten FortiGate-Geräten zu stehlen, einschließlich Benutzerinformationen, gehashter Passwörter und mehr. Dies könnte zu weiteren Kompromittierungen im Unternehmensnetzwerk führen.

Betroffene Systeme

FortiManager:

  • Version 7.6.0
  • Versionen 7.4.0 bis 7.4.4
  • Versionen 7.2.0 bis 7.2.7
  • Versionen 7.0.0 bis 7.0.12
  • Versionen 6.4.0 bis 6.4.14
  • Versionen 6.2.0 bis 6.2.12

FortiManager Cloud:

  • Versionen 7.4.1 bis 7.4.4
  • Versionen 7.2.1 bis 7.2.7
  • Versionen 7.0.1 bis 7.0.12
  • Version 6.4 (alle Versionen)

Nicht betroffen:

  • FortiManager Cloud 7.6

Abhilfe

Fortinet hat Updates veröffentlicht, die die Schwachstelle beheben. Betroffene Systeme sollten dringend auf folgende Versionen aktualisiert werden:

FortiManager:

  • Version 7.6: Upgrade auf Version 7.6.1 oder höher
  • Version 7.4: Upgrade auf Version 7.4.5 oder höher
  • Version 7.2: Upgrade auf Version 7.2.8 oder höher
  • Version 7.0: Upgrade auf Version 7.0.13 oder höher
  • Version 6.4: Upgrade auf Version 6.4.15 oder höher
  • Version 6.2: Upgrade auf Version 6.2.13 oder höher

FortiManager Cloud:

  • Version 7.4: Upgrade auf Version 7.4.5 oder höher
  • Version 7.2: Upgrade auf Version 7.2.8 oder höher
  • Version 7.0: Upgrade auf Version 7.0.13 oder höher
  • Version 6.4: Migration auf eine behobene Version erforderlich

Als zusätzliche Schutzmaßnahmen werden empfohlen:

  • Den Zugriff auf das FortiManager-Adminportal auf genehmigte interne IP-Adressen zu beschränken
  • Nur erlaubten FortiGate-Adressen die Kommunikation mit FortiManager zu gestatten
  • Unbekannte FortiGate-Geräte von der Verbindung mit FortiManager zu blockieren

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

 

Update #1: 25.10.2024: CERT.at hat am 24.10.2024 die zuständigen AS-Kontakte über bereits angegriffene und kompromittierte Geräte informiert.

Informationsquelle(n):

FortiGuard Labs Advisory:
https://www.fortiguard.com/psirt/FG-IR-24-423

Google Cloud Blog - Investigating FortiManager Zero-Day Exploitation:
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575