Impatto Sistemico

Critico (79.23)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-47575 – già sanata dal vendor – che interessa i prodotti FortiManager e FortiAnalyzer. Tale vulnerabilità può consentire a un utente malintenzionato remoto non autenticato l’esecuzione di codice arbitrario.

Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità CVE-2024-47575 relativa al prodotto FortiManager e a versioni legacy di alcuni prodotti FortiAnalyzer.

Tale vulnerabilità – di tipo “Missing Authentication for Critical Function” e con score CVSS v3.1 pari a 9.8 – è dovuta dall’assenza di adeguati meccanismi di autenticazione in una funzione critica del demone “fgfmsd”. Lo sfruttamento di tale vulnerabilità potrebbe permettere l’esecuzione di codice e/o comandi arbitrari tramite l’utilizzo di richieste opportunamente predisposte.

Prodotti e versioni affette

• FortiManager 7.6.x, versioni precedenti alla 7.6.1
• FortiManager 7.4.x, versioni precedenti alla 7.4.5
• FortiManager 7.2.x, versioni precedenti alla 7.2.8
• FortiManager 7.0.x, versioni precedenti alla 7.0.13
• FortiManager 6.4.x, versioni precedenti alla 6.4.15
• FortiManager 6.2.x, versioni precedenti alla 6.2.13
• FortiManager Cloud 7.4.x, dalla versione 7.4.1 alla 7.4.4
• FortiManager Cloud 7.2x, dalla versione 7.2.1 alla 7.2.7
• FortiManager Cloud 7.0x, dalla versione 7.0.1 alla 7.0.12
• FortiManager Cloud 6.4.x., tutte le versioni
• Legacy FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E

N.B. : Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nel bollettino di sicurezza Fortinet.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti interessati seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ² presenti nel bollettino di sicurezza.

² Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.