Fortinet warnt vor aktiver Ausnutzung von kritischer Sicherheitslücke in FortiManager
Fortinet hat eine kritische Sicherheitslücke bestätigt, die FortiManager betrifft und derzeit aktiv ausgenutzt wird. Die als CVE-2024-47575 (CVSS-Score: 9.8) eingestufte Schwachstelle, auch bekannt unter dem Namen "FortiJump", nutzt eine Sicherheitslücke im FortiGate-to-FortiManager (FGFM)-Protokoll. Diese Schwachstelle eröffnet Angreifern potenziell weitreichenden Zugang zu Fortinet-Systemen.
„Eine fehlende Authentifizierung für kritische Funktionen [CWE-306] im FortiManager fgfmd-Daemon öffnet Tür und Tor: Ein entfernter, nicht authentifizierter Angreifer kann durch geschickt konstruierte Anfragen beliebigen Code oder Befehle ausführen,“ warnt Fortinet in einer aktuellen Sicherheitsmeldung. Diese Schwachstelle stellt eine gefährliche Lücke dar und könnte Angreifern die Kontrolle über FortiManager-Systeme verschaffen – eine alarmierende Aussicht für Unternehmen weltweit.
Der Fehler betrifft die FortiManager-Versionen 7.x und 6.x sowie FortiManager Cloud 7.x und 6.x. Er betrifft auch ältere FortiAnalyzer-Modelle 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G und 3900E, sofern diese mindestens eine Schnittstelle mit aktiviertem fgfm-Dienst sowie die folgende Konfiguration aufweisen:
config system global
set fmg-status enable
end
Fortinet hat drei Workarounds für das Problem bereitgestellt, die je nach installierter FortiManager-Version angewendet werden können:
- FortiManager-Versionen 7.0.12 oder höher, 7.2.5 oder höher, 7.4.3 oder höher: Verhindern, dass unbekannte Geräte versuchen, sich zu registrieren.
- FortiManager-Versionen ab 7.2.0: Lokale Richtlinien hinzufügen, um die IP-Adressen der FortiGates auf eine Positivliste zu setzen, die eine Verbindung herstellen dürfen.
- FortiManager-Versionen 7.2.2 und höher, 7.4.0 und höher, 7.6.0 und höher: Ein benutzerdefiniertes Zertifikat verwenden.
Laut runZero erfordert eine erfolgreiche Ausnutzung des Problems, dass die Angreifer ein gültiges Fortinet-Gerätezertifikat besitzen. Es wurde jedoch angemerkt, dass solche Zertifikate von einem vorhandenen Fortinet-Gerät bezogen und wiederverwendet werden könnten.
Das Unternehmen berichtet, dass der Angriff darauf abzielte, mithilfe eines Skripts automatisiert verschiedene Dateien aus dem FortiManager zu stehlen. Diese Dateien enthielten Informationen wie IP-Adressen, Anmeldedaten und Konfigurationen der verwalteten Geräte.
Es betont jedoch, dass die Schwachstelle nicht genutzt wurde, um Malware oder Hintertüren auf den kompromittierten FortiManager-Systemen zu installieren. Es gibt auch keine Anzeichen dafür, dass Datenbanken manipuliert oder Verbindungen verändert wurden.
Die Entwicklung veranlasste die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), die Schwachstelle in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufzunehmen und Bundesbehörden aufzufordern, die entsprechenden Sicherheitsupdates bis zum 13. November 2024 zu installieren.
Fortinet gab auch folgendes Statement heraus:
Nach der Entdeckung der Schwachstelle (CVE-2024-47575) hat Fortinet sofort wichtige Informationen und Ressourcen an die Kunden weitergeleitet. Dies entspricht unserem Standardprozess für eine verantwortungsvolle Offenlegung, damit Kunden ihre Sicherheitsmaßnahmen verstärken können, bevor diese Informationen breiter bekannt werden und möglicherweise auch von Bedrohungsakteuren genutzt werden könnten.
Zusätzlich haben wir eine öffentliche Sicherheitsmitteilung (FG-IR-24-423) veröffentlicht, die Anleitungen zur Schadensbegrenzung sowie Hinweise zu Umgehungslösungen und Patch-Updates enthält. Wir raten unseren Kunden dringend, die angegebenen Schritte zu befolgen, um die empfohlenen Maßnahmen umzusetzen, und unsere Beratungsseite regelmäßig auf Updates zu überprüfen. Fortinet arbeitet weiterhin eng mit internationalen Behörden und Sicherheitsorganisationen zusammen, um die Lage zu beobachten und gegebenenfalls zusätzliche Maßnahmen zu ergreifen.
Bedrohungsakteur für CVE-2024-47575 Ausnutzung ausgemacht
Das Google-Tochterunternehmen Mandiant hat die großflächige Ausnutzung von FortiManager-Appliances mit der Schwachstelle CVE-2024-47575 einem neuen Bedrohungsakteur zugeordnet, den es „UNC5820“ nennt.
Bis heute wurden mindestens 50 potenziell betroffene FortiManager-Geräte in verschiedenen Branchen identifiziert, wobei die Spuren des Angriffs bis zum 27. Juni 2024 zurückverfolgt werden konnten.
Laut den Mandiant-Forschern Foti Castelan, Max Thauer, JP Glab, Gabby Roncone, Tufail Ahmed und Jared Wilson hat UNC5820 die Konfigurationsdaten der FortiGate-Geräte erfasst und entwendet, die vom kompromittierten FortiManager verwaltet werden. Diese Daten enthalten detaillierte Konfigurationen der verwalteten Geräte sowie Nutzerinformationen und die gehashten FortiOS256-Passwörter. UNC5820 könnte diese Informationen nutzen, um den FortiManager weiter anzugreifen, seitliche Bewegungen auf andere Fortinet-Geräte durchzuführen und schließlich Unternehmensnetzwerke ins Visier zu nehmen.
Mandiant, das eng mit Fortinet zusammenarbeitet, hat allerdings bislang keine Hinweise darauf gefunden, dass UNC5820 die Konfigurationsdaten für weitere Angriffe oder Bewegungen im Netzwerk missbraucht hat. Die genauen Hintergründe und Ziele von UNC5820 sind derzeit noch unklar, da es hierzu noch zu wenig Daten gibt.
Mehr als 4.000 ungeschützte FortiManager-Administrationsportale online
Laut Daten des Angriffsfächen-Management-Unternehmens Censys gibt es weltweit 4.081 FortiManager-Admin-Portale, die online zugänglich sind. Fast 30 Prozent dieser Instanzen befinden sich in den USA, und etwa 20 Prozent sind mit der Microsoft Cloud verbunden.
Es ist jedoch unklar, wie viele dieser Instanzen tatsächlich anfällig für die Schwachstelle CVE-2024-47575 sind, da keine Informationen zu den spezifischen Geräteversionen vorliegen.
„Das Risiko, das von CVE-2024-47575 ausgeht, darf nicht unterschätzt werden. Die Schwachstelle ist besonders für Angreifer attraktiv, die große Unternehmen ins Visier nehmen, da sie darüber aus der Ferne Code ausführen können“, erklärt Tim Peck, Senior Threat Researcher bei Securonix. „In diesen Umgebungen kann unbefugter Zugriff zu Datenverlust oder sogar zur Unterbrechung kritischer Prozesse führen. Betroffene Unternehmen sollten den am 24. Oktober veröffentlichten Patch umgehend installieren, anschließend die Zugriffsprotokolle auf verdächtige Aktivitäten prüfen und sicherstellen, dass ein detaillierter Plan zur Reaktion auf Vorfälle vorhanden ist.“