Vulnerabilità zero-day critica in FortiManager e dispositivi FortiGate consente esecuzione di codice remoto

FortiGate firewall e FortiManager sono ampiamente utilizzati nelle reti aziendali e nei fornitori di servizi gestiti (MSP) per centralizzare la configurazione e la gestione dell’infrastruttura di sicurezza. Una vulnerabilità zero-day recentemente scoperta consente agli attaccanti di sfruttare una debolezza nel protocollo di comunicazione (FGFM) tra i dispositivi FortiGate e FortiManager, portando ad accessi non autorizzati alle reti interne. Più di 60.000 istanze di FortiManager sono attualmente esposte a Internet, aumentando il rischio di sfruttamento. In particolare, questo problema consente l’esecuzione di codice remoto (RCE) su FortiManager tramite la registrazione malevola di dispositivi FortiGate fasulli.

Fortinet FortinManager
2024-10-23 15:49:14
Active Exploitation

Riassunto tecnico

La vulnerabilità risiede nel protocollo FGFM (porta 541), che consente la comunicazione tra i firewall FortiGate e FortiManager. Gli attaccanti rubano o riutilizzano certificati legittimi da dispositivi FortiGate compromessi e li usano per registrare i loro dispositivi fasulli all’interno di un sistema FortiManager. Una volta registrati, gli attaccanti possono sfruttare la vulnerabilità per ottenere RCE su FortiManager. Questo conferisce loro la capacità di controllare i firewall FortiGate gestiti, esfiltrare configurazioni e credenziali, e propagare ulteriori attacchi all’interno della rete.
Il design di FGFM supporta la traversal NAT, il che significa che gli attaccanti che compromettono un singolo firewall gestito possono spostarsi lateralmente tra FortiManager e altri dispositivi nella rete gestita, compromettendo potenzialmente l’intera infrastruttura. Attori malevoli, compresi gruppi sponsorizzati da stati, sono stati osservati mentre sfruttavano questa vulnerabilità già dall’inizio del 2024.

Raccomandazioni

  • Limitare l’accesso a FortiManager (porta 541) consentendolo solo a indirizzi IP fidati.
  • Configurare FortiManager per rifiutare numeri di serie sconosciuti e impedire l’aggiunta di dispositivi non autorizzati.
  • Revocare e riemettere i certificati utilizzati per l’autenticazione dei dispositivi per bloccare qualsiasi riutilizzo non autorizzato.
  • Applicare appena disponibili le patch di sicurezza rilasciate da Fortinet che affrontano questa vulnerabilità.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In