FortiGate-Firewalls und FortiManager werden in Unternehmensnetzwerken und bei Managed Service Providern (MSPs) häufig eingesetzt, um die Konfiguration und Verwaltung der Sicherheitsinfrastruktur zu zentralisieren. Eine kürzlich entdeckte Zero-Day-Schwachstelle ermöglicht es Angreifern, eine Schwachstelle im Kommunikationsprotokoll (FGFM) zwischen FortiGate-Geräten und FortiManager auszunutzen, was zu unbefugtem Zugriff auf interne Netzwerke führt. Mehr als 60.000 FortiManager-Instanzen sind derzeit dem Internet ausgesetzt, was das Risiko einer Ausnutzung erhöht. Insbesondere ermöglicht dieses Problem die Remote-Code-Ausführung (RCE) auf dem FortiManager durch die bösartige Registrierung gefälschter FortiGate-Geräte.
| Produkt | Fortinet FortiManager |
| Datum | 23.10.2024 15:49:14 |
| Informationen |
|
Technische Zusammenfassung
Die Schwachstelle liegt im FGFM-Protokoll (Port 541), das die Kommunikation zwischen FortiGate-Firewalls und FortiManager ermöglicht. Angreifer stehlen oder verwenden legitime Zertifikate von kompromittierten FortiGate-Geräten wieder und nutzen diese, um ihre eigenen gefälschten Geräte in einem FortiManager-System zu registrieren. Sobald sie registriert sind, können die Angreifer die Schwachstelle ausnutzen, um RCE auf dem FortiManager zu erlangen. Dies gibt ihnen die Möglichkeit, verwaltete FortiGate-Firewalls zu kontrollieren, Konfigurationen und Anmeldedaten zu exfiltrieren und weitere Angriffe innerhalb des Netzwerks zu verbreiten. Das Design von FGFM unterstützt NAT-Traversal, was bedeutet, dass Angreifer, die eine einzelne verwaltete Firewall kompromittieren, sich seitwärts zwischen dem FortiManager und anderen Geräten im verwalteten Netzwerk bewegen können, wodurch potenziell die gesamte Infrastruktur gefährdet wird. Bösartige Akteure, einschließlich staatlich geförderter Gruppen, wurden bereits seit Anfang 2024 bei der Ausnutzung dieser Schwachstelle beobachtet.
Empfehlungen
- Beschränken Sie den Zugriff auf den FortiManager (Port 541), indem Sie diesen nur für vertrauenswürdige IP-Adressen erlauben.
- Konfigurieren Sie den FortiManager so, dass unbekannte Seriennummern abgelehnt werden und das Hinzufügen nicht autorisierter Geräte verhindert wird.
- Widerrufen Sie Zertifikate, die zur Geräteauthentifizierung verwendet werden, und stellen Sie diese neu aus, um eine unbefugte Wiederverwendung zu blockieren.
- Installieren Sie die von Fortinet veröffentlichten Sicherheitspatches, die diese Schwachstelle beheben, sobald sie verfügbar sind.
[Callforaction-THREAT-Footer]
Leave a Reply