Поделиться
Новая почти 10-балльная уязвимость в продуктах Fortinet уже подверглась хакерской эксплуатации
Fortinet подтвердил наличие «бага» FortiJump с оценкой 9,8 балла по шкале CVSS и выпустил рекомендации по обновлению своих уязвимых продуктов.
Кавалерийский наскок
Компания Fortinet выпустила бюллетень, в котором подтвердила факт атак на уязвимость нулевого дня в своем ПО FortiManager. Уязвимость CVE-2024-47575 является критической, оценка по шкале CVSS составляет 9,8 балла. Ей даже присвоено уникальное название - FortiJump.
Такие уязвимости, как правило, очень легко поддаются эксплуатации и позволяют злоумышленникам захватывать полный контроль над уязвимыми компонентами.
Уязвимость непосредственно затрагивает протокол FortiGate to FortiManager (FGFM): недостаток авторизации в критической функции открывает неавторизованным злоумышленникам возможность запускать произвольный код или команды через специальные запросы.
Затронуты версии FortiManager 7.x, 6.x, FortiManager Cloud 7.x, и 6.x.
Кроме того, затронуты старые модели FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, и 3900E при условии, что хотя бы у одного интерфейса активна служба fgfm и задана следующая конфигурация:
config system global
set fmg-status enable
end
Как приструнить
Fortinet выпустил инструкции по нейтрализации угрозы. В частности, для версию FortiManager 7.0.12 и выше, 7.2.5 и выше, 7.4.3 и выше необходимо заблокировать возможность регистрации неизвестных устройств:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
Для FortiManager версии 7.2.0 и выше рекомендуется задать «белый» список IP-адресов шлюзов FortiGate:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
Для версий 7.2.2 и выше, 7.4.0 и выше и 7.6.0 и выше можно настроить специальный сертификат и распространить его по шлюзам:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
Ну, а самым рабочим способом будет, естественно, обновление уязвимых оболочек до исправленных версий: 6.2.13, 6.4.15, 7.0.13, 7.2.8, 7.4.5, 7.6.1 или выше.
Оболочка FortiManager Cloud 7.6 уязвимости не содержит.
В компании указывают, что уже наблюдаются атаки на уязвимые системы с целью вывода определенных файлов из FortiManager, которые содержат IP-адреса, реквизиты доступа и данные о настройках устройств.
Информации о распространении вредоносов или бэкдоров на уязвимые системы FortiManager пока нет.
«Вполне рядовая ошибка программиста получила нерядовой масштаб и привлекла массу внимания из-за популярности уязвимого решения, что повысило угрозу от нее на несколько порядков», - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. «Пока что хакеры не успели нанести много вреда с ее помощью, но ждать теперь, вероятно, недолго».
Агентство по защите инфраструктуры и кибербезопасности США (CISA) внесло «баг» CVE-2024-47575 в свой список известных уязвимостей и предписало госучреждениям установить необходимые обновления до 11 ноября 2024 г.
Поделиться
Короткая ссылка
