Kritische RCE Lücke in Fortinet FortiManager (CVE-2024-47575) wird aktiv ausgenutzt

Table of Contents

Eine schwerwiegende Schwachstelle im FortiManager fgfmsd-Daemon wurde am 23. Oktober 2024 veröffentlicht, die es einem nicht authentifizierten, entfernten Angreifer ermöglicht, beliebigen Code oder Befehle auf betroffenen Systemen auszuführen. Der Fehler, der als CVE-2024-47575 bezeichnet wird, resultiert aus fehlender Authentifizierung bei kritischen Funktionen, wodurch speziell gestaltete Anfragen an das System gesendet werden können, um dessen Sicherheit zu umgehen. Diese Schwachstelle betrifft mehrere Versionen der FortiManager-Software und wird als kritisch mit einem CVSS-Score von 9.8 eingestuft.

Berichte zeigen, dass diese Schwachstelle bereits aktiv ausgenutzt wird, was die Dringlichkeit der Situation erhöht. Angreifer können durch die Lücke nicht nur auf den betroffenen FortiManager zugreifen, sondern auch auf die verwalteten FortiGate-Geräte, indem sie Anmeldeinformationen, IP-Adressen und Konfigurationen extrahieren. Eine solche Kompromittierung könnte zu einer Vielzahl von Angriffen führen, einschließlich des Diebstahls sensibler Daten und der Modifikation von Gerätekonfigurationen.

Betroffene Versionen umfassen FortiManager von Version 6.2 bis 7.6. Bei Geräten, die über FortiAnalyzer-Funktionalitäten verfügen, kann ebenfalls eine Beeinträchtigung durch die Schwachstelle auftreten, wenn bestimmte Konfigurationen aktiviert sind. Ein Update auf die jeweils neueste verfügbare Version wird dringend empfohlen, um die Lücke zu schließen. Sollten Updates nicht sofort möglich sein, stehen Workarounds zur Verfügung, die vorübergehenden Schutz bieten können, wie das Verhindern der Registrierung unbekannter Geräte oder die Implementierung lokaler Zugriffsrichtlinien.

Die Angriffsindikatoren umfassen spezifische Log-Einträge sowie ungewöhnliche Dateispuren auf betroffenen Systemen. In bisher bekannten Angriffen wurden vor allem automatisierte Skripte genutzt, um vertrauliche Informationen zu extrahieren. Auffällig ist jedoch, dass bisher keine Hinweise auf Malware-Installationen oder Modifikationen der verwalteten Geräte selbst entdeckt wurden.

Für die Wiederherstellung kompromittierter Systeme empfiehlt es sich, entweder ein neues System aufzusetzen und nur geprüfte Konfigurationen zu übernehmen oder ein vollständiges Re-Image durchzuführen. In jedem Fall sollten sämtliche Anmeldeinformationen der verwalteten Geräte unverzüglich geändert werden, um weiteren Missbrauch zu verhindern.

Workaround:

config system global
set fgfm-deny-unknown enable
end

FortiNet hat bereits Updates veröffentlicht, die diese Schwachstelle beheben. Es wird dringend empfohlen, die betroffenen Systeme zu aktualisieren oder die verfügbaren Workarounds zu implementieren, um eine Kompromittierung zu verhindern und die Sicherheit wiederherzustellen.

Laut einem Bericht von Google wird die Lücke bereits aktiv ausgenutzt.

Related Posts

Proof of Concept zur Microsoft Remote Registry-Client Privilege Escalation Schwachstelle CVE-2024-43532

Am 19. Oktober 2024 entdeckte der Akamai-Forscher Stiv Kupchik eine kritische Sicherheitslücke (CVE-2024-43532) im Microsoft Remote Registry-Client. Diese Schwachstelle ermöglicht eine Erhöhung der Berechtigungen (EoP) und hat einen CVSS-Score von 8.8. Sie missbraucht veraltete Transportprotokolle, um NTLM-Anmeldeinformationen zu relayn, was Angreifern ermöglicht, Zertifikate für die Domänenauthentifizierung zu erhalten. Microsoft hat die Lücke im Oktober 2024 gepatcht. Betroffene Windows-Versionen sollten dringend aktualisiert werden, um diese Schwachstelle zu beheben.

Read More

Statische Anmeldeinformationen in Cisco Firepower Threat Defense Software entdeckt (CVE-2024-20412)

Cisco hat am 23. Oktober 2024 eine schwerwiegende Sicherheitslücke in der Cisco Firepower Threat Defense (FTD) Software für die Serien Firepower 1000, 2100, 3100 und 4200 veröffentlicht. Diese Schwachstelle, die mit CVE-2024-20412 bezeichnet wird, könnte einem nicht authentifizierten, lokalen Angreifer den Zugriff auf ein betroffenes System mithilfe statischer Anmeldeinformationen ermöglichen. Der Schweregrad dieser Schwachstelle wird mit einem CVSS-Score von 9.3 als kritisch eingestuft.

Read More

Privilege-Escalation Sicherheitslücke in GNU/Linux guix-daemon gefunden

Am 21. Oktober 2024 wurde eine Sicherheitslücke im guix-daemon veröffentlicht, die es einem lokalen Benutzer ermöglicht, die Privilegien eines beliebigen Build-Benutzers zu übernehmen und den Ausgabeprozess von Builds zu manipulieren. Guix ist eine Paketverwaltungssoftware für GNU/Linux Systeme. Dieser Exploit betrifft vor allem Multi-User-Systeme, die dedizierte Benutzer für Build-Dienste verwenden, und erlaubt Angreifern, binäre Dateien mit erhöhten Rechten (setuid/setgid) nach einem fehlgeschlagenen Build zu erstellen. Ein erfolgreicher Angreifer könnte dadurch Systemdateien überschreiben oder kompromittierte Ausgaben erzeugen.

Read More