Kritična ranjivost nultog dana u Fortinet FortiManageru
Dana 23. listopada 2024., tvrtka Fortinet je izdala sigurnosnu obavijest u vezi s kritičnom ranjivosti nultog dana (engl. zero-day) u svom proizvodu FortiManager. Iskorištavanjem ranjivosti udaljeni napadač bez autentifikacije može izvršavati proizvoljni kôd ili naredbe na ranjivom uređaju.
Preporučuje se žurno ažuriranje zahvaćenih proizvoda, ako to nije moguće, preporučuje se primjena privremenih rješenja. U svim slučajevima, preporučuje se provjera potencijalne kompromitacije sustava.
Tehnički detalji ranjivosti otklonjene ovim ažuriranjem:
Kritična ranjivost CVE-2024-21754 (CVSS ocjena 9.8), zahvaća FortiManager fgfmd demon i uzrokovana je nedostatkom autentifikacije za kritične funkcije. Udaljeni napadač bez autentifikacije može izvršavati proizvoljni kôd ili naredbe putem posebno oblikovanih zahtjeva.
Zahvaćene verzije proizvoda:
- FortiManager 7.6 verzije prije 7.6.1;
- FortiManager 7.4 verzije prije 7.4.5;
- FortiManager 7.2 verzije prije 7.2.8;
- FortiManager 7.0 verzije prije 7.0.13;
- FortiManager 6.4 verzije prije 6.4.15;
- FortiManager 6.2 verzije prije 6.2.13;
- FortiManager Cloud 7.4 verzije prije 7.4.5;
- FortiManager Cloud 7.2 sve verzije;
- FortiManager Cloud 7.0 sve verzije;
- FortiManager Cloud 6.4 sve verzije.
Preporuke:
Preporučuje se žurna nadogradnja zahvaćenih uređaja na najnovije dostupne ispravljene verzije, prioritizirajući uređaje izložene internetu. Ako to nije moguće, preporučuje se primjena privremenih rješenja.
Također se preporučuje provjera potencijalne kompromitacije sustava, s obzirom na to da se navedena ranjivost nultog dana već aktivno iskorištava u napadima.
Privremena rješenja:
- Za FortiManager verzije 7.0.12 ili novije, 7.2.5 ili novije, 7.4.3 ili novije (ali ne 7.6.0), onemogućiti odnosno spriječiti registraciju nepoznatih uređaja:
|
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
|
Napomena: Ovom postavkom, FortiManager će spriječiti povezivanje i registraciju FortiGate uređaja čiji serijski broj nije na popisu uređaja, čak i ako se koristi model uređaja s unaprijed postavljenim ključem (engl. Pre-Shared key - PSK).
- Za FortiManager verzije 7.2.0 i novije, može se dodati lokalna politika za dopuštanje povezivanja samo određenih IP adresa FortiGate uređaja.
Primjer:
|
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
|
- Za verzije 7.2.2 i novije, 7.4.0 i novije, 7.6.0 i novije, kao mjeru ublažavanja, moguće je koristiti prilagođeni certifikat:
|
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
|
Ovaj certifikat zatim treba instalirati na FortiGate uređaje. Samo će taj CA biti važeći, što može poslužiti kao privremeno rješenje, pod uvjetom da certifikat potpisan od strane toga CA, napadač ne može dobiti niti jednim drugim kanalom.
Napomena: Za FortiManager verzije 6.2, 6.4 i 7.0.11 i starije, preporučuje se nadogradnja na jednu od gore navedenih verzija i primjena privremenih rješenja.
Otkrivanje indikatora kompromitacije (IoC):
Sljedeći indikatori kompromitacije mogu se koristiti za identificiranje potencijalnog napada:
Zapisi:
|
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
|
IP adrese:
|
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
|
Serijski broj:
|
FMG-VMTM23017412
|
Datoteke:
|
/tmp/.tm
/var/tmp/.tm
|
Napominjemo da indikatori kompromitacije u obliku datoteka nisu nužno prisutni u svim slučajevima.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.fortiguard.com/psirt/FG-IR-24-423
- https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/
[inicijalna objava: 24.10.2024 - 11:30]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima