Sommario
Fortinet ha recentemente avvertito i suoi clienti di una vulnerabilità critica nel software FortiManager, identificata come CVE-2024-47575, che sta attualmente subendo attacchi zero-day. Questa falla di sicurezza ha un punteggio di gravità 9.8 su 10, segnalando la gravità del rischio. La vulnerabilità sfrutta una mancanza di autenticazione nel protocollo FortiGate to FortiManager (FGFM), permettendo a un attaccante remoto non autenticato di eseguire comandi arbitrari su dispositivi vulnerabili.
Dettagli tecnici della vulnerabilità
Il problema principale risiede nel daemon fgfmd di FortiManager, che gestisce la comunicazione tra i dispositivi FortiGate e il server FortiManager. Una richiesta appositamente creata consente a un attaccante di eseguire codice arbitrario su FortiManager, con l’effetto di sottrarre informazioni sensibili, tra cui configurazioni, credenziali e indirizzi IP dei dispositivi gestiti. Sebbene l’attacco richieda un certificato valido di un dispositivo Fortinet, i ricercatori hanno notato che è possibile ottenere tali certificati da dispositivi compromessi.
Le versioni vulnerabili includono FortiManager 6.x e 7.x, oltre alle versioni Cloud 7.x e 6.x. Fortinet ha rilasciato patch per alcune versioni, ma consiglia ai clienti di applicare uno dei tre metodi di mitigazione temporanea, a seconda della versione in uso:
- Bloccare la registrazione di dispositivi sconosciuti.
- Utilizzare policy local-in per consentire l’accesso solo agli IP autorizzati.
- Utilizzare certificati personalizzati per proteggere la connessione tra FortiGate e FortiManager.
Attacchi in corso e conseguenze
Gli attacchi finora osservati hanno esfiltrato informazioni sensibili dai sistemi FortiManager compromessi, ma non vi è ancora prova dell’installazione di malware o backdoor sui dispositivi compromessi. Come sottolineato dai ricercatori di Mandiant, gli attaccanti hanno utilizzato queste informazioni per pianificare attacchi laterali contro le reti aziendali. Fino a 50 dispositivi FortiManager risultano compromessi in vari settori industriali, con segnalazioni che risalgono al giugno 2024.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha incluso questa vulnerabilità nel suo Known Exploited Vulnerabilities (KEV) catalog, richiedendo alle agenzie federali di applicare le patch entro il 13 novembre 2024.
Reazione di Fortinet e mitigazioni
Fortinet ha emesso un avviso pubblico e ha fornito raccomandazioni ai clienti per mitigare la vulnerabilità. Tra le soluzioni immediate, oltre all’aggiornamento software, è consigliato bloccare la registrazione di dispositivi sconosciuti e applicare restrizioni IP per limitare l’accesso ai dispositivi FortiGate autorizzati.