BM24-005 Kritisk sårbarhet i Fortinet FortiManager utnyttjas aktivt
Fortinet har publicerat information om en kritisk sårbarhet i FortiManager som utnyttjas aktivt. Sårbarheten CVE-2024-47575 har av tillverkaren tilldelats en CVSS-klassning på 9.8 av 10. [1] NIST har ännu inte gjort en bedömning. [2]
Då sårbarheten har utnyttjats som en nolldagssårbarhet är det viktigt både säkerhetsuppdatera och genomsöka system efter tecken på intrång. Enligt uppgift från säkerhetsforskare kan hålet ha exploaterats sedan juni 2024, eventuellt ännu längre. [3]
Säkerhetsbristen beror på avsaknaden av autentisering av en kritisk funktion i FortiManager fgfm deamon. Ett framgångsrikt utnyttjande av sårbarheten kan leda fjärrexekvering av godtycklig kod på enheter anslutna till FortiManager samt otillbörlig åtkomst till känsliga filer som exempelvis config-filer och hashade lösenord. Dessa kan sedan användas för att förflytta sig vidare i övertagna miljöer.
Det finns både IOC:er tillgängliga samt råd kring mitigerande åtgärder, se mer nedan.
Påverkade produkter
För en fullständig lista av påverkade produkter, se [1].
Rekommendationer
CERT-SE rekommenderar att skyndsamt installera säkerhetsuppdateringar samt att undersöka sårbara system efter tecken på intrång med hjälp av publicerade IOC:er. Var god notera att det kan finnas ytterligare indikatorer på intrång som inte täcks av dessa IOC:er.
Fortinet har även publicerat mitigerande åtgärder (“Recovery Methods”) på sin hemsida samt information kring IOCer (Indicators of Compromise) som kan vara till hjälp för drabbade. [1]
Kontakta CERT-SE
CERT-SE tar gärna emot både teknisk och generell information från drabbade. Mejla till cert@cert.se och märk tydligt upp mejlet med ämnesraden [CVE-2024-47575].
Källor
[1] https://www.fortiguard.com/psirt/FG-IR-24-423