Fortinet đã công bố công khai một lỗ hổng API nghiêm trọng trong FortiManager, được theo dõi với mã CVE-2024-47575, đang bị khai thác trong các cuộc tấn công zero-day để đánh cắp các tệp nhạy cảm chứa cấu hình, địa chỉ IP và thông tin đăng nhập của các thiết bị được quản lý.
Thông tin chi tiết
Fortinet đã công bố công khai lỗ hổng FortiManager nghiêm trọng đang bị khai thác, được theo dõi với mã CVE-2024-47575 với mức độ nghiêm trọng được đánh giá 9.8/10. Theo thông báo bảo mật FG-IR-24-423 của Fortinet: "Một lỗ hổng thiếu xác thực cho chức năng quan trọng [CWE-306] trong daemon fgfmd của FortiManager có thể cho phép kẻ tấn công từ xa không cần xác thực thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được tạo đặc biệt” nhưng kẻ tấn công trước tiên phải trích xuất một chứng chỉ hợp lệ từ bất kỳ thiết bị Fortinet nào đã sở hữu hoặc bị xâm phạm, bao gồm cả FortiManager VM.
Định danh lỗ hổng: CVE-2024-47575
Mức độ nghiêm trọng: Critical
Điểm CVSS: 9.8/10
Phân dạng lỗ hổng: Authentication Bypass / Remote Code Execution
Thiếu xác thực cho chức năng quan trọng [CWE-306]
Cho phép thực thi mã từ xa không cần xác thực
Mô tả: Lỗ hổng tồn tại trong daemon fgfmd của FortiManager, kẻ tấn công từ xa không cần xác thực có thể thực thi mã hoặc lệnh tùy ý thông qua các request đặc biệt. Lỗ hổng cho phép đánh cắp các file nhạy cảm chứa cấu hình, lấy địa chỉ IP và thông tin đăng nhập của thiết bị được quản lý, kiểm soát hoàn toàn các thiết bị được quản lý và FortiManager, tiếp tục xâm nhập sâu hơn vào mạng doanh nghiệp.
Lỗ hổng ảnh hưởng đến các phiên bản FortiManager sau:
Phiên bản | Bị ảnh hưởng | Giải pháp khắc phục |
FortiManager 7.6 | 7.6.0 | Nâng cấp lên 7.6.1 trở lên |
FortiManager 7.4 | 7.4.0 đến 7.4.4 | Nâng cấp lên 7.4.5 trở lên |
FortiManager 7.2 | 7.2.0 đến 7.2.7 | Nâng cấp lên 7.2.8 trở lên |
FortiManager 7.0 | 7.0.0 đến 7.0.12 | Nâng cấp lên 7.0.13 trở lên |
FortiManager 6.4 | 6.4.0 đến 6.4.14 | Nâng cấp lên 6.4.15 trở lên |
FortiManager 6.2 | 6.2.0 đến 6.2.12 | Nâng cấp lên 6.2.13 trở lên |
FortiManager Cloud 7.6 | Không bị ảnh hưởng | Không áp dụng |
FortiManager Cloud 7.4 | 7.4.1 đến 7.4.4 | Nâng cấp lên 7.4.5 trở lên |
FortiManager Cloud 7.2 | 7.2.1 đến 7.2.7 | Nâng cấp lên 7.2.8 trở lên |
FortiManager Cloud 7.0 | 7.0.1 đến 7.0.12 | Nâng cấp lên 7.0.13 trở lên |
FortiManager Cloud 6.4 | Tất cả phiên bản 6.4 | Chuyển sang phiên bản đã được sửa |
Dấu hiệu nhận biết bị tấn công:
Xuất hiện thiết bị "localhost" trong phần Unregistered Devices
Các log có chứa số serial FMG-VMTM23017412
Tồn tại file /tmp/.tm và /var/tmp/.tm
Kết nối từ các IP đáng ngờ thuộc Vultr:
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
Khuyến nghị
Phía FPT khuyến nghị để khắc phục hoàn toàn lỗ hổng trên cần bện pháp khắc phục nâng cấp lên các phiên bản đã vá mới nhất của hãng.
Khuyến nghị một số cách để giảm thiểu rủi ro tạm thời của lỗ hổng:
Sử dụng lệnh "set fgfm-deny-unknown enable" để chặn thiết bị không xác định.
Tạo chứng chỉ tùy chỉnh cho kết nối SSL.
Tạo whitelist địa chỉ IP cho các thiết bị FortiGate được phép kết nối.
Tham Khảo
Fortinet warns of new critical FortiManager flaw used in zero-day attacks<https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/\>