VietNetwork.Vn

Fortinet đã xác nhận thông tin chi tiết về lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến FortiManager đang bị khai thác tràn lan trên thực tế.

Được theo dõi với tên gọi CVE-2024-47575 (điểm CVSS: 9,8), lỗ hổng bảo mật này còn được gọi là FortiJump và bắt nguồn từ giao thức FortiGate tới FortiManager (FGFM).


"Lỗ hổng xác thực chức năng quan trọng [CWE-306] bị thiếu trong daemon FortiManager fgfmd có thể cho phép kẻ tấn công từ xa không được xác thực thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được thiết kế đặc biệt", công ty cho biết trong thông báo vào thứ Tư.

Nhược điểm này ảnh hưởng đến các phiên bản FortiManager 7.x, 6.x, FortiManager Cloud 7.x và 6.x. Nó cũng ảnh hưởng đến các mô hình FortiAnalyzer cũ 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G và 3900E có ít nhất một giao diện với dịch vụ fgfm được bật và cấu hình bên dưới trên -

config system global
set fmg-status enable
end
Fortinet cũng cung cấp hai giải pháp khắc phục lỗi này tùy thuộc vào phiên bản hiện tại của FortiManager được cài đặt -

• FortiManager phiên bản 7.0.12 trở lên, 7.2.5 trở lên, 7.4.3 trở lên: Ngăn chặn các thiết bị không xác định cố gắng đăng ký
• FortiManager phiên bản 7.2.0 trở lên: Thêm chính sách local-in để cho phép liệt kê các địa chỉ IP của FortiGates được phép kết nối
• FortiManager phiên bản 7.2.2 trở lên, 7.4.0 trở lên, 7.6.0 trở lên: Sử dụng chứng chỉ tùy chỉnh

Theo runZero, để khai thác thành công, kẻ tấn công phải sở hữu chứng chỉ thiết bị Fortinet hợp lệ, mặc dù runZero lưu ý rằng các chứng chỉ đó có thể được lấy từ thiết bị Fortinet hiện có và sử dụng lại.

Công ty cho biết: "Các hành động được xác định của cuộc tấn công này trong thực tế là tự động hóa thông qua một tập lệnh để đánh cắp nhiều tệp khác nhau từ FortiManager có chứa IP, thông tin đăng nhập và cấu hình của các thiết bị được quản lý".

Tuy nhiên, báo cáo nhấn mạnh rằng lỗ hổng này không được sử dụng để triển khai phần mềm độc hại hoặc cửa hậu trên các hệ thống FortiManager bị xâm phạm, cũng không có bằng chứng nào về bất kỳ cơ sở dữ liệu hoặc kết nối nào bị sửa đổi.

Sự phát triển này đã thúc đẩy Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm lỗi này vào danh mục Lỗ hổng đã khai thác (KEV), yêu cầu các cơ quan liên bang áp dụng bản sửa lỗi trước ngày 13 tháng 11 năm 2024.

Fortinet cũng chia sẻ tuyên bố dưới đây với The Hacker News -

Sau khi xác định lỗ hổng này (CVE-2024-47575), Fortinet đã nhanh chóng truyền đạt thông tin và tài nguyên quan trọng cho khách hàng. Điều này phù hợp với các quy trình và thông lệ tốt nhất của chúng tôi về việc tiết lộ có trách nhiệm để cho phép khách hàng củng cố thế trận bảo mật của mình trước khi một khuyến cáo được công khai cho nhiều đối tượng hơn, bao gồm cả các tác nhân đe dọa. Chúng tôi cũng đã công bố một khuyến cáo công khai tương ứng (FG-IR-24-423) nhắc lại hướng dẫn giảm thiểu, bao gồm giải pháp thay thế và cập nhật bản vá. Chúng tôi kêu gọi khách hàng làm theo hướng dẫn được cung cấp để triển khai các giải pháp thay thế và bản sửa lỗi và tiếp tục theo dõi trang khuyến cáo của chúng tôi để biết các bản cập nhật. Chúng tôi tiếp tục phối hợp với các cơ quan chính phủ quốc tế và các tổ chức đe dọa trong ngành thích hợp như một phần trong phản ứng liên tục của mình.