Fortinet针对其FortiManager平台发布了安全公告,关于一个被积极利用的严重漏洞 CVE-2024-47575,漏洞评级为CVSS 9.8。
由于fgfmsd守护程序中缺少身份验证缺陷,可能允许未经验证的远程攻击者通过特别构建的请求执行任意命令或代码。
Fortinet解释说,“FortiManager的fgfmd守护程序中缺少关键功能漏洞 [CWE-306] 的身份验证,可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。”
该漏洞影响了 FortiManager 的多个版本,包括:
FortiManager 7.6(7.6.1之前的版本)
FortiManager 7.4(版本7.4.0至7.4.4)
FortiManager 7.2(版本7.2.0至7.2.7)
FortiManager 7.0(版本7.0.0至7.0.12)
FortiManager 6.4(版本6.4.0至6.4.14)
FortiManager 6.2(版本6.2.0至6.2.12)
FortiManager Cloud版本也会受到影响,建议用户升级到公告中所述的修复版本。
Fortinet已确认CVE-2024-47575已被积极利用,因此组织必须迅速采取行动。“报告显示,这个漏洞被广泛利用。”该公司指出,并强调了应用提供的补丁的紧迫性。
除了更新到最新版本之外,Fortinet还为无法立即升级的用户提供了多种解决方法。例如,用户可以启用fgfm-deny-unknown设置来防止未知设备尝试向 FortiManager注册。
Fortinet警告,如果合法的FortiGate设备未在设备列表中列出,则启用此设置可能会阻止它们连接。
对于7.2.0及以上版本,用户还可以应用本地输入策略,将允许连接到 FortiManager的特定IP地址列入白名单,从而提供额外的安全保护。
Fortinet提供了一份可能的入侵指标列表,其中包括日志条目和与恶意活动相关的特定IP地址。该公告建议用户查看事件日志中是否存在可疑行为,例如添加未注册的设备或修改设备设置。
需要注意的IP地址包括:
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
对于已经遭到入侵的组织,Fortinet给出了两种恢复方法:
1、建议的恢复操作:安装新的FortiManager虚拟机或重新初始化硬件型号,然后添加或发现设备,或恢复在检测到感染指标(IoC)之前进行的备份。
2、替代恢复操作:手动验证当前FortiManager配置的准确性,从受感染的FortiManager中恢复组件,并在需要时重建数据库。
黑客公布被盗数据,思科已将DevHub门户网站下线
2024.10.22
“终局行动”查封后,Bumblebee恶意软件卷土重来
2024.10.24
美国新规,管控向中国、俄罗斯等六个敌对国家传输数据
2024.10.23
注:本文由E安全编译报道,转载请联系授权并注明来源。