Fortinet ha publicado un aviso crítico sobre una vulnerabilidad 0day en su producto FortiManager, identificada como ‘FortiJump’ (CVE-2024-47575). Esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar código arbitrario mediante solicitudes maliciosas. Fortinet ha confirmado que esta vulnerabilidad ya está siendo activamente explotada y ha compartido indicadores de compromiso (IoC) en su aviso de seguridad.
Este 0day permite a un atacante remoto ejecutar comandos debido a una falta de autenticación en el servicio fgfmd, utilizado en FortiManager para la gestión de sus dispositivos. La explotación de esta vulnerabilidad facilita el envío de solicitudes maliciosas que pueden comprometer totalmente el sistema afectado, otorgando al atacante la posibilidad de ejecutar código con privilegios elevados.
Las versiones vulnerables de FortiManager incluyen:
• FortiManager: 7.6.0; 7.4.0 a 7.4.4; 7.2.0 a 7.2.7; 7.0.0 a 7.0.12; 6.4.0 a 6.4.14; 6.2.0 a 6.2.12.
• FortiManager Cloud: 7.4.1 a 7.4.4; 7.2.1 a 7.2.7; 7.0.1 a 7.0.12; todas las versiones 6.4.
• Modelos antiguos de FortiAnalyzer: Modelos 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E que tengan habilitada la configuración set fmg-status enable y al menos una interfaz con el servicio fgfm activado.
Fortinet ha indicado la explotación activa de esta vulnerabilidad y ha proporcionado indicadores de compromiso para ayudar a los equipos de seguridad a detectar actividad sospechosa relacionada.
type=event,subtype=dvm,pri=information,desc=»Device,manager,generic,information,log»,user=»device,…»,msg=»Unregistered device localhost add succeeded» device=»localhost» adom=»FortiManager» session_id=0 operation=»Add device» performed_on=»localhost» changes=»Unregistered device localhost add succeeded»type=event,subtype=dvm,pri=notice,desc=»Device,Manager,dvm,log,at,notice,level»,user=»System»,userfrom=»»,msg=»» adom=»root» session_id=0 operation=»Modify device» performed_on=»localhost» changes=»Edited device settings (SN FMG-VMTM23017412)»
Mandiant ha realizado una investigación para conocer el alcande de la explotación activa que recomendamos leer https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575 .
Fortinet ha lanzado actualizaciones que corrigen esta vulnerabilidad para las versiones afectadas de FortiManager y FortiManager Cloud. Se recomienda actualizar a las siguientes versiones o superiores:
• FortiManager: 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15, 6.2.13.
• FortiManager Cloud: 7.4.5, 7.2.8, 7.0.13.
Para los casos en que no sea posible aplicar las actualizaciones, se deben implementar las medidas de mitigación incluidas en el aviso de seguridad de Fortinet.
Más información:
- Missing authentication in fgfmsd https://www.fortiguard.com/psirt/FG-IR-24-423
- Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575) https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575
- Security Advisory 2024-113 https://cert.europa.eu/publications/security-advisories/2024-113/
- Fortinet FortiManager CVE-2024-47575 Exploited in Zero-Day Attacks https://www.rapid7.com/blog/post/2024/10/23/etr-fortinet-fortimanager-cve-2024-47575-exploited-in-zero-day-attacks/
La entrada Vulnerabilidad 0day de ejecución remota de código en FortiManager de Fortinet se publicó primero en Una Al Día.