Fortinet确认了其 FortiManager 产品中的一个严重安全漏洞,编号为 CVE-2024-47575。这一漏洞的严重程度相当高,CVSS 评分高达9.8,甚至被称为 “FortiJump”。漏洞主要存在于 FortiGate 与 FortiManager 之间的 FGFM 协议中。
图源备注:图片由AI生成,图片授权服务商Midjourney
Fortinet在周三发布的公告中指出,这个漏洞属于 “缺少关键功能的认证” 问题,允许远程未经身份验证的攻击者通过特殊构造的请求执行任意代码或命令。受影响的 FortiManager 版本包括7.x 和6.x 系列,以及 FortiManager Cloud 的7.x 和6.x 版本。此外,某些老旧的 FortiAnalyzer 型号如1000E、1000F、2000E 等也受到影响,只要其有启用 fgfm 服务的接口,并且符合特定配置。
为了应对这一漏洞,Fortinet提供了三种应急措施,具体取决于用户当前安装的 FortiManager 版本。对于7.0.12及以上、7.2.5及以上和7.4.3及以上版本,建议阻止未知设备尝试注册。而对于7.2.0及以上版本,建议添加本地策略,仅允许特定 IP 地址的 FortiGate 设备连接。此外,对于7.2.2及以上、7.4.0及以上和7.6.0及以上版本,建议使用自定义证书。
根据 runZero 的分析,成功利用该漏洞的攻击者需要拥有有效的 Fortinet 设备证书,而这些证书可以从已有的 Fortinet 设备中获取并加以重用。攻击者通过自动化脚本从 FortiManager 中提取各种文件,包括管理设备的 IP 地址、凭证和配置文件。不过,目前没有证据表明该漏洞被用于部署恶意软件或后门,数据库或连接也未被篡改。
随着这一漏洞的曝光,美国网络安全和基础设施安全局(CISA)已将其列入已知利用漏洞(KEV)目录,要求联邦机构在2024年11月13日之前应用修复措施。Fortinet在与 The Hacker News 的交流中表示,他们在发现漏洞后迅速向客户传达了关键信息和资源,并发布了相应的公共公告,呼吁用户按照指导实施应急措施和修复。
划重点:
1. ⚠️ Fortinet确认 FortiManager 存在严重安全漏洞,允许攻击者执行任意代码。
2.
