Eine schwerwiegende Schwachstelle im FortiManager fgfmsd-Daemon wurde am 23. Oktober 2024 veröffentlicht, die es einem nicht authentifizierten, entfernten Angreifer ermöglicht, beliebigen Code oder Befehle auf betroffenen Systemen auszuführen. Der Fehler, der als CVE-2024-47575 bezeichnet wird, resultiert aus fehlender Authentifizierung bei kritischen Funktionen, wodurch speziell gestaltete Anfragen an das System gesendet werden können, um dessen Sicherheit zu umgehen. Diese Schwachstelle betrifft mehrere Versionen der FortiManager-Software und wird als kritisch mit einem CVSS-Score von 9.8 eingestuft.
Berichte zeigen, dass diese Schwachstelle bereits aktiv ausgenutzt wird, was die Dringlichkeit der Situation erhöht. Angreifer können durch die Lücke nicht nur auf den betroffenen FortiManager zugreifen, sondern auch auf die verwalteten FortiGate-Geräte, indem sie Anmeldeinformationen, IP-Adressen und Konfigurationen extrahieren. Eine solche Kompromittierung könnte zu einer Vielzahl von Angriffen führen, einschließlich des Diebstahls sensibler Daten und der Modifikation von Gerätekonfigurationen.
Betroffene Versionen umfassen FortiManager von Version 6.2 bis 7.6. Bei Geräten, die über FortiAnalyzer-Funktionalitäten verfügen, kann ebenfalls eine Beeinträchtigung durch die Schwachstelle auftreten, wenn bestimmte Konfigurationen aktiviert sind. Ein Update auf die jeweils neueste verfügbare Version wird dringend empfohlen, um die Lücke zu schließen. Sollten Updates nicht sofort möglich sein, stehen Workarounds zur Verfügung, die vorübergehenden Schutz bieten können, wie das Verhindern der Registrierung unbekannter Geräte oder die Implementierung lokaler Zugriffsrichtlinien.
Die Angriffsindikatoren umfassen spezifische Log-Einträge sowie ungewöhnliche Dateispuren auf betroffenen Systemen. In bisher bekannten Angriffen wurden vor allem automatisierte Skripte genutzt, um vertrauliche Informationen zu extrahieren. Auffällig ist jedoch, dass bisher keine Hinweise auf Malware-Installationen oder Modifikationen der verwalteten Geräte selbst entdeckt wurden.
Für die Wiederherstellung kompromittierter Systeme empfiehlt es sich, entweder ein neues System aufzusetzen und nur geprüfte Konfigurationen zu übernehmen oder ein vollständiges Re-Image durchzuführen. In jedem Fall sollten sämtliche Anmeldeinformationen der verwalteten Geräte unverzüglich geändert werden, um weiteren Missbrauch zu verhindern.
Workaround:
config system global
set fgfm-deny-unknown enable
endFortiNet hat bereits Updates veröffentlicht, die diese Schwachstelle beheben. Es wird dringend empfohlen, die betroffenen Systeme zu aktualisieren oder die verfügbaren Workarounds zu implementieren, um eine Kompromittierung zu verhindern und die Sicherheit wiederherzustellen.
Laut einem Bericht von Google wird die Lücke bereits aktiv ausgenutzt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: