Vulnerabilidad Critica en FortiManager CVE-2024-47575 (CVSS 9.8)
En los últimos días, Fortinet ha liberado actualizaciones importantes respecto a la seguridad de FortiManager, esto para arreglar vulnerabilidades que se han estado detectando y han estado siendo explotadas por terceros.
Informes mencionan que la compañía notificó primero a un grupo específico de clientes, pero el pasado 23 de octubre de 2024 reveló la información al público, detallando esta vulnerabilidad, identificada como CVE-2024-47575, con un puntaje CVSS de 9.8, lo que indica una severidad crítica. [3] [1]
Se trata de una vulnerabilidad que se origina en la API de FortiManager debido a la falta de autenticación en el daemon fgfmd. Esto permite que un atacante remoto no autenticado ejecute código arbitrario o comandos mediante peticiones específicas. Lo que hace crítica a esta vulnerabilidad es el hecho de que, si un FortiManager es comprometido, el atacante puede obtener acceso a FortiGate a través de un túnel SSL (un protocolo que permite una comunicación segura) y tomar control total sobre los dispositivos gestionados por el FortiManager.
Se ha confirmado que la CVE está siendo explotada activamente en ataques de día cero, un tipo de ataque que, debido al desconocimiento de la vulnerabilidad, puede ser utilizado por los atacantes sin ser detectados.
Imagen de la explotación de la vulnerabilidad en un FortiManager [2]
Se puede saber si un dispositivo se ha comprometido entrando a los logs y verificando si se han hecho registros por medio de un dispositivo sin registrar o con el número de serie “FMG-VMTM23017412” los logs se deben ver de la siguiente manera: [1] [3]
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
El ejemplo anterior corresponde a dispositivos que no tienen un registro en el FortiManager y son desconocidos para el usuario. También existe otro log que indica que el dispositivo ha sido comprometido si contiene el número de serie mencionado anteriormente, el cual se presenta de la siguiente forma: [1] [3]
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
Limitar el acceso a instancias de FortiManager es una buena práctica en estos casos. Además, es de suma importancia implementar las actualizaciones en cuanto estén disponibles, ya que estas corrigen vulnerabilidades en cada lanzamiento. Para las versiones 7.2.5, 7.0.12 y 7.4.3, existe un workaround que puede ayudar a mitigar la vulnerabilidad en caso de que no sea posible actualizar estas versiones. El workaround es el siguiente: [2] [3]
config system global
set fgfm-deny-unknown enable
end
Indicadores de Compromiso:
|
IoC |
Tipo |
|
45.32.41.202 |
IP |
|
104.238.141.143 |
IP |
|
158.247.199.37 |
IP |
|
FMG-VMTM23017412 |
Equipo Fortinet |
Versiones Afectadas
|
Version |
Version vulnerable |
Version parchada |
|
FortiManager 7.6 |
7.6.0 |
7.6.1 o superior |
|
FortiManager 7.4 |
7.4.0 hasta la 7.4.4 |
7.4.5 o superior |
|
FortiManager 7.2 |
7.2.0 hasta la 7.2.7 |
7.2.8 o superior |
|
FortiManager 7.0 |
7.0.0 hasta la 7.0.12 |
7.0.13 o superior |
|
FortiManager 6.4 |
6.4.0 hasta la 6.4.14 |
6.4.15 o superior |
|
FortiManager 6.2 |
6.2.0 hasta la 6.2.12 |
6.2.13 o superior |
|
FortiManager Cloud 7.6 |
No afectada |
No aplica |
|
FortiManager Cloud 7.4 |
7.4.1 hasta la 7.4.4 |
7.4.5 o superior |
|
FortiManager Cloud 7.2 |
7.2.1 hasta la 7.2.7 |
7.2.8 o superior |
|
FortiManager Cloud 7.0 |
7.0.1 hasta la 7.0.12 |
7.0.13 o superior |
|
FortiManager Cloud 6.4 |
6.4 todas las versiones |
Migrar a una version que parche la vulnerabilidad |
Recomendaciones
-
Actualizar a FortiManager 7.6.0 a la versión 7.6.1 o posterior.
-
Actualizar a FortiManager 7.4.0 a la versión 7.4.5 o posterior.
-
Actualizar a FortiManager 7.2.0 a la versión 7.2.8 o posterior.
-
Actualizar a FortiManager 7.0.0 a la versión 7.0.13 o posterior.
-
Actualizar a FortiManager 6.4.0 a la versión 6.4.15 o posterior.
-
Actualizar a FortiManager 6.2.0 a la versión 6.2.13 o posterior.
-
Actualizar a FortiManager Cloud 7.4.1 a la versión 7.4.5 o posterior.
-
Actualizar a FortiManager Cloud 7.2.1 a la versión 7.2.8 o posterior.
-
Actualizar a FortiManager Cloud 7.0.1 a la versión 7.0.13 o posterior.
-
Para Fortimanager 6.4 migrar a una versión superior que parche la vulnerabilidad.
-
En caso de no poder actualizar las versiones 7.2.5, 7.0.12, 7.4.3 aplicar el siguiente workaround:
config system global
set fgfm-deny-unknown enable
end
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Lawrence, A. (2024. octubre 23) Fortinet warns of new critical FortiManager flaw used in zero-day attacks. Recuperado el 24 de octubre del 2024 en: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/
-
Castelan, F. Thauer, M. Glab, J. Roncone, G. Ahmed, T. Wilson, J. (2024, octubre 23) Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575). Recuperado el 24 de octubre del 2024 en: https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575
-
FORTINET. (2024, octubre 23) Missing authentication in fgfmsd. Recuperado el 24 de octubre del 2024 en: https://fortiguard.fortinet.com/psirt/FG-IR-24-423
