Actief misbruik van kritieke kwetsbaarheid in Fortinet FortiManager

Update - Proof-of-Concept

15 november 2024

Er is Proof-of-Concept-code (PoC) beschikbaar voor deze kwetsbaarheid, die van toepassing is op nog niet gepatchte FortiManager-varianten. 

Onderzoekers hebben ontdekt dat de eerdere patch van Fortinet niet volledig genoeg is als er al misbruik heeft plaatsgevonden. Het is mogelijk om op een gepatcht systeem alsnog code uit te voeren als de opdracht afkomstig is van een vertrouwd apparaat. Aanvallers kunnen een niet-geautoriseerd apparaat registreren door een geldig FortiGate-certificaat te misbruiken, wat toegang geeft tot netwerkconfiguraties en VPN-gegevens. Fortinet heeft een nieuwe patch uitgebracht en biedt mitigerende maatregelen, zoals het blokkeren van onbekende apparaten en het gebruik van custom certificaten. 

Het advies blijft hierom nog steeds om de beveiligingsupdates zo snel mogelijk te (laten) installeren. Als je dit niet zelf kunt of twijfelt neem dan contact op met je je IT-dienstverlener. Tot slot heeft Fortinet Indicators of Compromise (IoC's) beschikbaar gesteld die kunnen helpen bij forensisch onderzoek, bij indicatoren van misbruik is het advies om accounts te resetten en certificaten te vernieuwen. Bekijk het volledige advies, meer informatie en de laatste updates op de website van het NCSC.

 
Oorspronkelijk bericht

24 oktober 2024

Fortinet waarschuwt voor actief misbruik van een kwetsbaarheid in FortiManager en FortiManager Cloud. De kwetsbaarheid is recent gepubliceerd onder het kenmerk CVE-2024-47575. Door er misbruik van te maken kan een aanvaller een kwetsbaar systeem op afstand overnemen. Omdat FortiManager een belangrijk netwerkapparaat is waarmee organisaties Forti-apparatuur kunnen beheren, is de impact van het beveiligingsprobleem op een schaal van 1 tot 10 beoordeeld met een 9.8.

Wat is het risico?

Door het versturen van een speciaal geprepareerd commando kan een ongeauthenticeerde aanvaller op afstand willekeurige code op de FortiManager uitvoeren en zo controle over het systeem krijgen. Omdat Fortinet eerder publiekelijk stil is gebleven over het beveiligingsprobleem en de beschikbaarheid van een patch, is het mogelijk dat een kwaadwillende toegang heeft gehad tot kwetsbare FortiManager omgevingen.

Wat kun je doen?

• Inmiddels heeft Fortinet updates uitgebracht om de kwetsbaarheid te verhelpen. Het Digital Trust Center (DTC) adviseert om deze beveiligingsupdates zo snel mogelijk te (laten) installeren. Neem contact op met je IT-dienstverlener als je niet zeker weet of je gebruik maakt van FortiManager.  
• Verder is het advies om accounts te resetten en certificaten te vernieuwen. Als je dit niet zelf kunt of twijfelt neem dan contact op met je je IT-dienstverlener.
• Tot slot heeft Fortinet in FG-IR-24-423 enkele Indicators of Compromise (IoC's) beschikbaar gesteld die kunnen helpen bij forensisch onderzoek. Omdat deze kwetsbaarheid al langere tijd misbruikt is voordat er een update beschikbaar is gekomen, is alleen updaten niet meer voldoende. Doe aanvullend onderzoek of er in de tussentijd misbruik is geweest.