Vulnérabilité FORTINET CVSS 9.8

actualités
publié le 31-10-2024

Référence : CVE-2024-47575
Titre : FortiManager – Authentification manquante au niveau du service fgfmsd
Criticité : CVSS 9.8
Date de la première version : octobre 2024  
Date de la dernière version : octobre 2024  
Source(s) :
Bulletin de sécurité confidentiel de Fortinet

Détails de la Vulnérabilité

Impact

Exécuter du code ou des commandes non autorisées à distance

Détail  

La vulnérabilité permet à un attaquant ayant extrait un certificat valide d’un Fortigate de s’enregistrer sur un FortiManager et d’exécuter des commandes API arbitraires à distance.

Le risque est atténué lorsque le FortiManager n’est pas publié sur Internet puisque pas frontalement exposé à des acteurs malveillants extérieurs.

Statut d'exploitation : 

Fortinet a connaissance d’au moins un cas où cette vulnérabilité a été exploitée à l'état sauvage. De possibles IOC figurent ci-dessous :
 

  • IP suivantes : 45.32.41.202, 104.238.141.143, 158.247.199.37
  • Fortigate enregistré avec le numéro de série suivant : FMG-VMTM23017412

Correctifs

Exaprobe conseille, avec les recommandations de Fortinet, d’appliquer les dispositions suivantes :

Note : La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. 
Il est notamment recommandé d’effectuer des tests autant que possible. 
Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises  à jour comme des correctifs ou des changements de version. 
En cas de besoin Exaprobe est disposé à vous conseiller, accompagner.

Solutions de contournement

Les mesures de contournement suivantes peuvent être prise en attendant l’application des correctifs

Sur les FortiManager  en version 7.2.5 et supérieures (sauf 7.6.0), interdire l’enregistrement de Fortigate « inconnus » :
 

# config system global
(global)# set fgfm-deny-unknown enable
(global)# end
 

Cette commande permet d’interdire l’enregistrement sur le FortiManager d’un Fortigate dont le numéro de série ne serait pas dans la « device list », même avec un fonctionnement via « PSK »
 

Sur toutes les versions de FortiManager, il est possible de mettre en place des « whitelist » n’autorisant que les adresses IP des Fortigate connus. 
 

Par exemple (le « edit 2 » correspond au drop explicite et doit être inclus) :
 

config system local-in-policy
edit 1
set action accept
set src 172.30.12.0/24
set dport 443
next
edit 2
next