Fortinet为其FortiManager平台发布了安全公告,解决了CVE-2024-47575这一关键漏洞,该漏洞已在野外被积极利用。这个被评为CVSS 9.8的漏洞源于fgfmsd守护进程中缺少身份验证,可能允许远程未认证的攻击者通过精心构造的请求执行任意命令或代码。Fortinet解释称,“FortiManager fgfmsd守护进程中关键功能缺少身份验证[CWE-306]的漏洞可能允许远程未认证的攻击者通过精心构造的请求执行任意代码或命令。”鉴于严重性高,Fortinet建议立即采取措施来减轻与该漏洞相关的风险。该漏洞影响多个版本的FortiManager,包括:FortiManager 7.6(7.6.1之前的版本)FortiManager 7.4(7.4.0至7.4.4版本)FortiManager 7.2(7.2.0至7.2.7版本)FortiManager 7.0(7.0.0至7.0.12版本)FortiManager 6.4(6.4.0至6.4.14版本)FortiManager 6.2(6.2.0至6.2.12版本)FortiManager Cloud版本也受到影响,建议用户按照公告中的说明升级到修复版本。Fortinet确认CVE-2024-47575已被积极利用,这使得组织迅速采取行动变得至关重要。“报告显示,这个漏洞在野外已被利用,”该公司指出,强调了应用所提供补丁的紧迫性。除了升级到最新版本外,Fortinet还为那些无法立即升级的用户提供了一些变通方法。例如,用户可以启用fgfm-deny-unknown设置,以防止未知设备尝试注册FortiManager:config system global set fgfm-deny-unknown enable end然而,Fortinet警告,启用此设置可能会阻止未列在设备列表中的合法FortiGate设备连接。对于7.2.0及以上版本,用户还可以应用本地入站策略,以允许特定的IP地址连接到FortiManager,从而提供额外的安全层。Fortinet提供了可能的入侵指标列表,其中包括日志条目和与恶意活动相关的特定IP地址。该公告建议用户审查事件日志,以查找任何可疑行为,例如未注册设备的添加或修改设备设置。需要关注的IP地址包括:45.32.41.202104.238.141.143158.247.199.3745.32.63.2对于已经被入侵的组织,Fortinet建议两种恢复方法:推荐恢复操作:安装新的FortiManager虚拟机或重新初始化硬件模型,然后添加或发现设备,或恢复在检测到入侵指标(IoCs)之前拍摄的备份。替代恢复操作:手动验证当前FortiManager配置的准确性,从受损的FortiManager恢复组件,并在需要时重建数据库。
