شرکت فورتینت (Fortinet)، بیست و سوم اکتبر ۲۰۲۴ یک آسیب پذیری روز صفر بحرانی را در API محصول FortiManager خود فاش کرد. این آسیب پذیری که با شناسه CVE-2024-47575 دنبال میشود، FortiJump نام دارد و برای سرقت دادههای حساس همچون فایلهای پیکربندی، آدرسهای IP و دادههای لاگین دستگاههای مدیریت شده مورد سوء استفاده قرار گرفته است.
FortiManager برای مدیریت ترافیک و دستگاهها در شبکههای سازمانی استفاده میشود. آسیب پذیری FortiJump به هکر اجازه میدهد تا احراز هویت API را دور بزند.
بسیاری از نسخههای FortiManager و FortiManager Cloud تحت تأثیر آسیب پذیری CVE-2024-47575 قرار دارند و پچهای امنیتی برای تمامی نسخههای این محصولات به استثنای FortiManager Cloud 7.6 (که جدیدترین نسخه است و این آسیب پذیری در آن قابل اعمال نیست) و FortiManager Cloud 6.4.0 (که نیاز به مهاجرت به نسخه ثابت دارد)، منتشر شده است.
البته در حال حاضر نسخههای ۷.۲.۸ و ۷.۴.۵ محصول FortiManager ارائه شدهاند و مابقی نسخهها در روزهای آینده منتشر خواهند شد.
به نظر میرسد که این نقص امنیتی برای مدتی مورد سوء استفاده قرار گرفته است و بر نسخههای FortiManager زیر تأثیر میگذارد:
نسخه | نسخه آسیب پذیر | پچ منتشر شده |
FortiManager 7.6 | ۷.۶.۰ | به نسخه ۷.۶.۱ یا بالاتر ارتقا دهید |
FortiManager 7.4 | از ۷.۴.۰ تا ۷.۴.۴ | به نسخه ۷.۴.۵ یا بالاتر ارتقا دهید |
FortiManager 7.2 | از ۷.۲.۰ تا ۷.۲.۷ | به نسخه ۷.۲.۸ یا بالاتر ارتقا دهید |
FortiManager 7.0 | از ۷.۰.۰ تا ۷.۰.۱۲ | به نسخه ۷.۰.۱۳ یا بالاتر ارتقا دهید |
FortiManager 6.4 | از ۶.۴.۰ تا ۶.۴.۱۴ | به نسخه ۶.۴.۱۵ یا بالاتر ارتقا دهید |
FortiManager 6.2 | از ۶.۲.۰ تا ۶.۲.۱۲ | به نسخه ۶.۲.۱۳ یا بالاتر ارتقا دهید |
FortiManager Cloud 7.6 | آسیب پذیر نیست | قابل اجرا نیست |
FortiManager Cloud 7.4 | از ۷.۴.۱ تا ۷.۴.۴ | به نسخه ۷.۴.۵ یا بالاتر ارتقا دهید |
FortiManager Cloud 7.2 | از ۷.۲.۱ تا ۷.۲.۷ | به نسخه ۷.۲.۸ یا بالاتر ارتقا دهید |
FortiManager Cloud 7.0 | از ۷.۰.۱ تا ۷.۰.۱۲ | به نسخه ۷.۰.۱۳ یا بالاتر ارتقا دهید |
FortiManager Cloud 6.4 | تمامی نسخههای ۶.۴ | به نسخه ثابت مهاجرت کنید |
در مشاوره امنیتی FG-IR-24-423فورتینت آمده است که “احراز هویت از دست رفته برای عملکرد آسیب پذیری بحرانی [[CWE-306 در FortiManager fgfmd daemon ممکن است به یک مهاجم احراز هویت نشده از راه دور اجازه دهد تا کد یا دستورات دلخواه را از طریق درخواستهای ساخته شده خاص اجرا کند”.
به گفته کوین بومونت، کارشناس حوزه امنیت اطلاعات، هکرهای تحت حمایت دولت چین از اوایل سال 2024 از این باگ برای نفوذ به شبکههای داخلی سازمانها سوء استفاده کردهاند. این آسیب پذیری حداقل در سیزدهم اکتبر 2024 شناخته شده و مشکل مربوط به پیکربندی پیشفرض در FortiManager است که اجازه میدهد دستگاههایی با شماره سریال ناشناخته یا غیرمجاز در کنترل پنل FortiManager ثبت شوند.
نمایندگان فورتینت چند روز بعد،بالاخره اطلاعات رسمی در مورد آسیب پذیری FortiJump را منتشر کردند. در همان زمان، این شرکت اعلام نمود که از سیزدهم اکتبر به طور خصوصی به تمام کاربران FortiManager خود در مورد این مسئله اطلاع رسانی کرده است.
شواهد حاکی از آن است که این شرکت برای مدت بیش از یک هفته، این آسیب پذیری را پنهان نموده و CVE برای آن صادر نکرده است. فورتینت در روزهای بعد، شروع به اصلاح نسخههای آسیب پذیر FortiManager کرد.
کوین بومونت روز سه شنبه، بیست و دوم اکتبر، یک پست وبلاگ در مورد این آسیب پذیری منتشر کرد و به دنبال آن شرکت فورتینت روز چهارشنبه، بیست و سوم اکتبر، CVE-2024-47575 را به طور عمومی فاش کرد. CISA نیز همان روز این آسیب پذیری را به فهرست آسیب پذیریهای شناخته شده خود افزود.
ریشه این آسیب پذیری در پروتکل FortiGate و دسترسی به FortiManager (FGFM) است که به دستگاههای Fortigate (فورتی گیت) اجازه میهد تا از طریق پورت 541 با admin ارتباط برقرار کنند. موتور جستجوی Shodan بیش از ۶۰ هزار اتصال قابل دسترس از این نوع را در اینترنت شناسایی کرده است.
فورتینت پروتکل “FortiGate to FortiManager (FGFM)” را ایجاد کرد تا به شرکتها اجازه دهد به راحتی دستگاههای فایروال FortiGate را مستقر کنند و از آنها بخواهند که به منظور مدیریت از یک مکان مرکزی، در یک سرور FortiManager راه دور ثبت نام کنند.
کاربران Reddit نیز هشدار دادند که این یک آسیب پذیری روز صفر به مهاجمان اجازه میدهد تا گواهی Fortigate را از هر Fortigate ربوده، در FortiManager ثبت نام و به آن دسترسی پیدا کنند.
به منظور اجرای دستورات از طریق FortiManager FGFM API، به سطح دیگری از مجوز و دسترسی نیاز است که با استفاده از آسیب پذیری CVE-2024-47575 قابل دور زدن میباشد. باگ دور زدن مکانیزم احراز هویت در API در آخرین نسخههای FortiManager پچ شده است.
این API به مهاجمان اجازه میدهد تا دستورات را اجرا و اطلاعات را بازیابی کنند و کنترل کامل دستگاههای مدیریت شده و FortiManager را برای دسترسی بیشتر به شبکههای شرکتی در دست بگیرند.
مدیریت فایروالهای پایین دستی FortiGate از FortiManager، امکان پذیر است. از آنجایی که MSPها (ارائه دهندگان سرویسهای مدیریت شده) اغلب از FortiManager استفاده میکنند، میتوان از آنها برای نفوذ به شبکههای داخلی مشتریهای پایین دستی استفاده کرد.
نحوه طراحی FGFM (موقعیت پیمایش NAT)، بیانگر آن است که وقتی هکر به فایروال مدیریت شده FortiGate دسترسی پیدا میکند، میتواند به یک ابزار مدیریتی FortiManager و سپس به سایر فایروالها و شبکهها دست یابد.
با توجه به ماهیت حساس دادههایی که احتمالاً از قربانیان به سرقت رفته است، نمایندگان فورتینت اکیداً توصیه میکنند که adminهای شبکه گذرواژهها و دادههای حساس کاربر را در همه دستگاههای مدیریت شده تغییر دهند.
در عین حال، فورتینت هیچ جزئیاتی در مورد تعداد احتمالی حملات و مشتریان آسیب دیده ارائه نکرده است. به گفته این شرکت تاکنون هیچ مدرکی دال بر نصب بدافزار در سرویسهای FortiManager هک شده یا تغییر در تنظیمات FortiGate مشاهده نشده است.
چنانچه دریافت و نصب آخرین نسخههای به روزرسانی سیستم عامل مقدور نباشد، Fortinet راههای مختلفی را برای مقابله این تهدید ارائه کرده است، از جمله:
- از دستور set fgfm-deny-unknown enable برای جلوگیری از ثبت دستگاههایی با شماره سریال ناشناخته در FortiManager استفاده کنید.
- یک گواهی سفارشی برای استفاده در هنگام ایجاد تونل SSL و احراز هویت دستگاههای FortiGate با FortiManager ایجاد نمایید.
با این حال، اگر مهاجم بتواند این گواهی را دریافت کند، همچنان میتواند از آن برای اتصال دستگاههای FortiGate و اکسپلویت آسیب پذیری سوء استفاده کند. از این رو توصیه میشود که یک لیست مجاز از آدرسهای IP برای دستگاههای FortiGate مجاز ایجاد شود.
