CVE-2024-23113

Fortinet Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-09

Официальное описание

Fortinet FortiOS, FortiPAM, FortiProxy, and FortiWeb contain a format string vulnerability that allows a remote, unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-23113 представляет собой критическую уязвимость типа «Format String» (ошибка строки форматирования) в демоне fgfm (FortiGate Federation Management). Уязвимость позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код или команды в системе.

Проблема возникает из-за некорректной обработки входных данных, передаваемых в функции форматирования строк. Атака реализуется путем отправки специально сформированных сетевых запросов на порт 541/TCP. Учитывая отсутствие необходимости в авторизации, уязвимость имеет наивысший приоритет (CVSS 9.8).

Как исправить

Основным способом устранения является обновление прошивки (Firmware) до версий, в которых данная ошибка исправлена.

Необходимые версии для обновления:

  • FortiOS 7.4: обновиться до версии 7.4.3 или выше.
  • FortiOS 7.2: обновиться до версии 7.2.7 или выше.
  • FortiOS 7.0: обновиться до версии 7.0.14 или выше.
  • FortiProxy 7.4: обновиться до версии 7.4.3 или выше.
  • FortiProxy 7.2: обновиться до версии 7.2.9 или выше.
  • FortiProxy 7.0: обновиться до версии 7.0.15 или выше.
  • FortiPAM 1.3: обновиться до версии 1.3.0 или выше.
  • FortiPAM 1.2: обновиться до версии 1.2.3 или выше.
  • FortiWeb 7.4: обновиться до версии 7.4.3 или выше.

Для проверки текущей версии и выполнения обновления используйте консоль:

get system status


execute restore config tftp <filename> <tftp_server_ip>

Временные меры

Если немедленное обновление невозможно, необходимо ограничить доступ к сервису FGFM (порт 541/TCP).

1. Отключение доступа FGFM на интерфейсах

Удалите разрешение на использование протокола fgfm на всех внешних (WAN) и недоверенных интерфейсах.

config system interface
    edit "wan1"
        set allowaccess ping https ssh
    next
end

2. Использование Local-In Policy

Настройте политику локального входящего трафика, чтобы разрешить подключения по порту 541 только с доверенных IP-адресов (например, только с IP-адреса FortiManager).

config firewall address
    edit "FortiManager_IP"
        set subnet 192.168.1.100 255.255.255.255
    next
end

config firewall local-in-policy
    edit 1
        set intf "any"
        set srcaddr "FortiManager_IP"
        set dstaddr "all"
        set action accept
        set service "FGFM"
        set schedule "always"
    next
    edit 2
        set intf "any"
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "FGFM"
        set schedule "always"
    next
end

3. Отключение автоматического обнаружения FortiManager

config system central-management
    set status disable
end
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей