Actief misbruik van kritieke kwetsbaarheid in Fortinet FortiManager

Fortinet waarschuwt voor actief misbruik van een kwetsbaarheid in FortiManager en FortiManager Cloud. De kwetsbaarheid is recent gepubliceerd onder het kenmerk CVE-2024-47575. Door er misbruik van te maken kan een aanvaller een kwetsbaar systeem op afstand overnemen. Omdat FortiManager een belangrijk netwerkapparaat is waarmee organisaties Forti-apparatuur kunnen beheren, is de impact van het beveiligingsprobleem op een schaal van 1 tot 10 beoordeeld met een 9.8.

Wat is het risico?

Door het versturen van een speciaal geprepareerd commando kan een ongeauthenticeerde aanvaller op afstand willekeurige code op de FortiManager uitvoeren en zo controle over het systeem krijgen. Omdat Fortinet eerder publiekelijk stil is gebleven over het beveiligingsprobleem en de beschikbaarheid van een patch, is het mogelijk dat een kwaadwillende toegang heeft gehad tot kwetsbare FortiManager omgevingen.

Wat kun je doen?

• Inmiddels heeft Fortinet updates uitgebracht om de kwetsbaarheid te verhelpen. Het Digital Trust Center (DTC) adviseert om deze beveiligingsupdates zo snel mogelijk te (laten) installeren. Neem contact op met je IT-dienstverlener als je niet zeker weet of je gebruik maakt van FortiManager.  
• Verder is het advies om accounts te resetten en certificaten te vernieuwen. Als je dit niet zelf kunt of twijfelt neem dan contact op met je je IT-dienstverlener.
• Tot slot heeft Fortinet in FG-IR-24-423 enkele Indicators of Compromise (IoC's) beschikbaar gesteld die kunnen helpen bij forensisch onderzoek. Omdat deze kwetsbaarheid al langere tijd misbruikt is voordat er een update beschikbaar is gekomen, is alleen updaten niet meer voldoende. Doe aanvullend onderzoek of er in de tussentijd misbruik is geweest.