CVE-2024-47575

Fortinet FortiManager

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2024-10-23

Официальное описание

Fortinet FortiManager contains a missing authentication vulnerability in the fgfmd daemon that allows a remote, unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.

🛡️

Технический анализ и план устранения

Суть уязвимости

CVE-2024-47575 (известная как «FortiJump») — это критическая уязвимость (CVSS 9.8), связанная с отсутствием аутентификации в демоне fgfmd продукта FortiManager.

Злоумышленник может отправить специально сформированные запросы на порт TCP/541, что позволяет удаленно и без авторизации выполнять произвольный код или команды на устройстве. Уязвимость активно эксплуатируется в дикой природе для кражи конфигурационных файлов, данных управляемых устройств и учетных данных.

Как исправить

Основным способом устранения является обновление прошивки FortiManager до версий, в которых ошибка исправлена.

Версии с исправлением: * FortiManager 7.6.1 или выше * FortiManager 7.4.5 или выше * FortiManager 7.2.8 или выше * FortiManager 7.0.13 или выше * FortiManager 6.4.15 или выше * FortiManager 6.2.13 или выше

Для FortiManager Cloud: * FortiManager Cloud 7.4.1-7.4.4: Обновиться до 7.4.5 * FortiManager Cloud 7.2.1-7.2.7: Обновиться до 7.2.8 * FortiManager Cloud 7.0.1-7.0.12: Обновиться до 7.0.13 * FortiManager Cloud 6.4.x: Обновиться до 7.0.13 или выше

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска.

1. Блокировка неизвестных устройств (для версий 7.0.12+, 7.2.5+, 7.4.3+) Запретите регистрацию устройств с неизвестными серийными номерами.

config system global
    set fgfm-deny-unknown-dev enable
end

2. Использование White-list (Списков разрешенных IP) Настройте политики локального трафика (Local-in policies), чтобы разрешить подключения на порт 541 только с доверенных IP-адресов управляемых FortiGate.

config system local-in-policy
    edit 1
        set action accept
        set dport 541
        set srcaddr "TRUSTED_IP_RANGE"
        set dstaddr "any"
        set service "FGFM"
    next
    edit 2
        set action deny
        set dport 541
        set srcaddr "any"
        set dstaddr "any"
        set service "FGFM"
    next
end

3. Проверка системы на признаки компрометации (IoC) Проверьте логи на наличие подозрительных записей о регистрации неизвестных устройств.

diag log filter category 0
diag log filter severity 5
diag log display

Ищите записи, содержащие auth-fail с указанием unregistered device или подозрительные IP-адреса в контексте демона fgfmd.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей