Uppdaterad: 2024-11-04 10:00 Publicerad: 2024-10-24 13:11

BM24-005 Kritisk sårbarhet i Fortinet FortiManager utnyttjas aktivt

Fortinet har publicerat information om en kritisk sårbarhet i FortiManager som utnyttjas aktivt. Sårbarheten CVE-2024-47575 har av tillverkaren tilldelats en CVSS-klassning på 9.8 av 10. [1]

Då sårbarheten har utnyttjats som en nolldagssårbarhet är det viktigt att både säkerhetsuppdatera och genomsöka system efter tecken på intrång. Enligt uppgift från säkerhetsforskare kan hålet ha exploaterats sedan juni 2024, eventuellt ännu längre. [3]

Säkerhetsbristen beror på avsaknaden av autentisering av en kritisk funktion i FortiManager fgfm deamon. Ett framgångsrikt utnyttjande av sårbarheten kan leda fjärrexekvering av godtycklig kod på enheter anslutna till FortiManager samt otillbörlig åtkomst till känsliga filer som exempelvis config-filer och hashade lösenord. Dessa kan sedan användas för att förflytta sig vidare i övertagna miljöer.

Det finns både IOC:er tillgängliga samt råd kring mitigerande åtgärder, se mer nedan.

Påverkade produkter

För en fullständig lista av påverkade produkter, se [1].

Uppdatering 2024-10-29

NIST har tilldelat sårbarheten en CVSS-klassning på 9.8 på en tiogradig skala. [2]

Uppdatering 2024-10-31

Fortinet har den 30 oktober uppdaterat sina råd och rekommendationer, med nya IOC:er och förslag på workarounds.[1]

Uppdatering 2024-11-04

CERT-SE vill understryka vikten av att applicera mitigerande åtgärder, utöver att säkerhetsuppdatera och genomsöka system efter tecken på intrång. [1]

Rekommendationer

CERT-SE rekommenderar att skyndsamt installera säkerhetsuppdateringar samt att undersöka sårbara system efter tecken på intrång med hjälp av publicerade IOC:er. Var god notera att det kan finnas ytterligare indikatorer på intrång som inte täcks av dessa IOC:er.

Fortinet har även publicerat mitigerande åtgärder (“Recovery Methods”) på sin hemsida samt information kring IOCer (Indicators of Compromise) som kan vara till hjälp för drabbade. [1]

Kontakta CERT-SE

CERT-SE tar gärna emot både teknisk och generell information från drabbade. Mejla till cert@cert.se och märk tydligt upp mejlet med ämnesraden [CVE-2024-47575].

Källor

[1] https://www.fortiguard.com/psirt/FG-IR-24-423

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-47575

[3] https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?e=48754805

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-11-19 12:49 Uppdaterad

Kritisk sårbarhet i VMware vCenter Server

VMware rapporterar om två sårbarheter i VMware vCenter Server, varav en klassas som kritisk. [1]

Sårbarhet VMware
2024-11-15 14:49

CERT-SE:s veckobrev v.46

Vi vill tipsa om Mognadsdialogen som är ett pedagogiskt verktyg för att följa upp hur effektivt...

Veckobrev
2024-11-14 10:20

Allvarlig sårbarhet i SAP Web Dispatcher

SAP varnar om flera sårbarheter i sina säkerhetsuppdateringar för november månad. Totalt lagas 10 sårbarheter, varav...

Sårbarhet SAP patchtisdag
2024-11-13 15:55

Allvarliga sårbarheter i Citrix Virtual Apps and Desktops

Citrix informerar om sårbarheter i Citrix Virtual Apps and Desktops, vilka härstammar från komponenten Session Recording....

Sårbarhet Citrix Virtual Apps and Desktops
2024-11-13 12:59

Kritiska sårbarheter i Ivanti Endpoint Manager, Connect Secure och Policy Secure

Ivanti har rättat flera kritiska sårbarheter i samband med patchtisdagen. Påverkade produkter är Ivanti Endpoint Manager,...

Sårbarhet Ivanti Policy Secure Connect Secure Endpoint Manager Patchtisdag

Nyheter