Vulnerabilidad afecta a FortiManager y FortiManager Cloud
Ciberataques
NextVision
0
Vulnerabilidad CVE-2024-47575: Afecta a FortiManager y
FortiManager Cloud
¿Qué vulnerabilidad se descubrió?
La vulnerabilidad CVE-2024-47575, conocida como FortiJump, afecta a FortiManager y FortiManager Cloud. Se trata de una falla crítica de autenticación para funciones esenciales del protocolo FGFM (FortiGate to FortiManager). La vulnerabilidad tiene un puntaje de 9.8 en el CVSS y permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas.
Productos Afectados:
| Versión | Afectados | Solución |
| FortiManager 7.6 | 7.6.0 | Actualizar a la versión 7.6.1 o superior |
| FortiManager 7.4 | 7.4.0 hasta la versión 7.4.4 | Actualizar a la versión 7.4.5 o superior |
| FortiManager 7.2 | 7.2.0 hasta la versión 7.2.7 | Actualizar a la versión 7.2.8 o superior |
| FortiManager 7.0 | 7.0.0 hasta la versión 7.0.12 | Actualizar a la versión 7.0.13 o superior |
| FortiManager 6.4 | 6.4.0 hasta la versión 6.4.14 | Actualizar a la versión 6.4.15 o superior |
| FortiManager 6.2 | 6.2.0 hasta la versión 6.2.12 | Actualizar a la versión 6.2.13 o superior |
| FortiManager Cloud 7.6 | No afectado | Not Applicable |
| FortiManager Cloud 7.4 | 7.4.1 hasta la versión 7.4.4 | Actualizar a la versión 7.4.5 o superior |
| FortiManager Cloud 7.2 | 7.2.1 hasta la versión 7.2.7 | Actualizar a la versión 7.2.8 o superior |
| FortiManager Cloud 7.0 | 7.0.1 hasta la versión 7.0.12 | Actualizar a la versión 7.0.13 o superior |
| FortiManager Cloud 6.4 | 6.4 todas las versiones | Migrar a una versión corregida. |
Modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E con la siguiente función habilitada (FortiManager en FortiAnalyzer):
- config system global
- set fmg-status enable
- end
y al menos una interfaz con el servicio fgfm habilitado también se ve afectada por esta vulnerabilidad.
Impacto
La vulnerabilidad CVE-2024-47575 tiene un impacto crítico debido a su potencialidad para permitir la ejecución remota de código en FortiManager y FortiManager Cloud sin necesidad de autenticación, mediante un script de filtración de varios archivos del FortiManager que contenían las IP, credenciales y configuraciones de los dispositivos administrados. La gravedad radica en que un atacante puede:
- Tomar control del FortiManager: Los atacantes pueden enviar solicitudes especialmente diseñadas para ejecutar comandos arbitrarios, comprometiendo la seguridad del sistema y obteniendo acceso a configuraciones, credenciales y otros datos sensibles de dispositivos gestionados por el FortiManager.
- Exfiltración de datos críticos: La vulnerabilidad puede ser usada para extraer información de configuración y credenciales de dispositivos FortiGate gestionados, lo que facilita la posibilidad de movimientos laterales en la red, comprometiendo así otras partes del entorno de TI.
- Riesgo para múltiples sectores: La vulnerabilidad ya ha sido explotada en ataques reales, afectando a más de 50 dispositivos FortiManager en distintas industrias, lo que sugiere que tiene un alcance significativo y está siendo aprovechada en operaciones de espionaje por actores de amenazas avanzadas.
Dado que tiene un puntaje CVSS de 9.8, es considerado un riesgo extremo para la integridad, confidencialidad y disponibilidad de la infraestructura de red. Es fundamental aplicar los parches y mitigaciones recomendados por Fortinet para protegerse contra este tipo de ataques.
Workaround
Actualice a una versión corregida o utilice una de las siguientes soluciones, según la versión que esté ejecutando:
- Para las versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior, 7.4.3 o superior (pero no 7.6.0), evite que dispositivos desconocidos intenten registrarse:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
Advertencia:
Con esta configuración habilitada, tenga en cuenta que, si el SN de un FortiGate no está en la lista de dispositivos, FortiManager evitará que se conecte para registrarse, incluso si es un modelo de dispositivo con PSK coincida.
- Opcional para las versiones 7.2.0 y superiores de FortiManager, puede agregar políticas de entrada local para incluir en la lista blanca las direcciones IP de FortiGates que pueden conectarse.
-Ejemplo:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
- Para versiones 7.2.2, 7.4.0, 7.6.0 o superiores, también es posible utilizar un certificado personalizado que mitigará el problema:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
Luego instale ese certificado en los FortiGates. Solo esta CA será válida; esto puede actuar como solución alternativa, siempre que el atacante no pueda obtener un certificado firmado por esta CA a través de un canal alternativo.
Comunícate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitas actualizar tus equipos Fortinet.
- Si tienes contrato de soporte enviando mail a: soporte@nextvision.com
- Caso contrario puedes contactar a nuestro equipo comercial a: info@nextvision.com
Fuente:
Departamento de Tecnología de NextVision.
Comments are closed.