Fortinet Cảnh Báo Lỗ Hổng Zero-Day Nghiêm Trọng Trong FortiManager

Fortinet Cảnh Báo Lỗ Hổng Zero-Day Nghiêm Trọng Trong FortiManager

Fortinet đã công bố công khai một lỗ hổng API nghiêm trọng trong FortiManager, được theo dõi với mã CVE-2024-47575, đang bị khai thác trong các cuộc tấn công zero-day để đánh cắp các tệp nhạy cảm chứa cấu hình, địa chỉ IP và thông tin đăng nhập của các thiết bị được quản lý.

Thông tin chi tiết

Fortinet đã công bố công khai lỗ hổng FortiManager nghiêm trọng đang bị khai thác, được theo dõi với mã CVE-2024-47575 với mức độ nghiêm trọng được đánh giá 9.8/10. Theo thông báo bảo mật FG-IR-24-423 của Fortinet: "Một lỗ hổng thiếu xác thực cho chức năng quan trọng [CWE-306] trong daemon fgfmd của FortiManager có thể cho phép kẻ tấn công từ xa không cần xác thực thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được tạo đặc biệt” nhưng kẻ tấn công trước tiên phải trích xuất một chứng chỉ hợp lệ từ bất kỳ thiết bị Fortinet nào đã sở hữu hoặc bị xâm phạm, bao gồm cả FortiManager VM.

Định danh lỗ hổng: CVE-2024-47575

Mức độ nghiêm trọng: Critical

Điểm CVSS: 9.8/10

Phân dạng lỗ hổng: Authentication Bypass / Remote Code Execution

  • Thiếu xác thực cho chức năng quan trọng [CWE-306]

  • Cho phép thực thi mã từ xa không cần xác thực

Mô tả: Lỗ hổng tồn tại trong daemon fgfmd của FortiManager, kẻ tấn công từ xa không cần xác thực có thể thực thi mã hoặc lệnh tùy ý thông qua các request đặc biệt. Lỗ hổng cho phép đánh cắp các file nhạy cảm chứa cấu hình, lấy địa chỉ IP và thông tin đăng nhập của thiết bị được quản lý, kiểm soát hoàn toàn các thiết bị được quản lý và FortiManager, tiếp tục xâm nhập sâu hơn vào mạng doanh nghiệp.

Lỗ hổng ảnh hưởng đến các phiên bản FortiManager sau:

Phiên bảnBị ảnh hưởngGiải pháp khắc phục
FortiManager 7.67.6.0Nâng cấp lên 7.6.1 trở lên
FortiManager 7.47.4.0 đến 7.4.4Nâng cấp lên 7.4.5 trở lên
FortiManager 7.27.2.0 đến 7.2.7Nâng cấp lên 7.2.8 trở lên
FortiManager 7.07.0.0 đến 7.0.12Nâng cấp lên 7.0.13 trở lên
FortiManager 6.46.4.0 đến 6.4.14Nâng cấp lên 6.4.15 trở lên
FortiManager 6.26.2.0 đến 6.2.12Nâng cấp lên 6.2.13 trở lên
FortiManager Cloud 7.6Không bị ảnh hưởngKhông áp dụng
FortiManager Cloud 7.47.4.1 đến 7.4.4Nâng cấp lên 7.4.5 trở lên
FortiManager Cloud 7.27.2.1 đến 7.2.7Nâng cấp lên 7.2.8 trở lên
FortiManager Cloud 7.07.0.1 đến 7.0.12Nâng cấp lên 7.0.13 trở lên
FortiManager Cloud 6.4Tất cả phiên bản 6.4Chuyển sang phiên bản đã được sửa

Dấu hiệu nhận biết bị tấn công:

  • Xuất hiện thiết bị "localhost" trong phần Unregistered Devices

  • Các log có chứa số serial FMG-VMTM23017412

  • Tồn tại file /tmp/.tm và /var/tmp/.tm

  • Kết nối từ các IP đáng ngờ thuộc Vultr:

    • 45.32.41.202

    • 104.238.141.143

    • 158.247.199.37

    • 45.32.63.2

Khuyến nghị

Phía FPT khuyến nghị để khắc phục hoàn toàn lỗ hổng trên cần bện pháp khắc phục nâng cấp lên các phiên bản đã vá mới nhất của hãng.

Khuyến nghị một số cách để giảm thiểu rủi ro tạm thời của lỗ hổng:

  • Sử dụng lệnh "set fgfm-deny-unknown enable" để chặn thiết bị không xác định.

  • Tạo chứng chỉ tùy chỉnh cho kết nối SSL.

  • Tạo whitelist địa chỉ IP cho các thiết bị FortiGate được phép kết nối.

Tham Khảo

Fortinet warns of new critical FortiManager flaw used in zero-day attacks<https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/\>