1. Alertas de Seguridad
  2. Vulnerabilidad Crítica en FortiManager Permite Ejecución Remota de Código (CVE-2024-47575)

Vulnerabilidad Crítica en FortiManager Permite Ejecución Remota de Código (CVE-2024-47575)

Fecha de publicación: Jue, 24/10/2024 - 09:17

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha descubierto una vulnerabilidad crítica en el servicio fgfmd de FortiManager y FortiManager Cloud, identificada como CVE-2024-47575 con una criticidad de 9.8. Esta falla permite la ejecución de código o comandos arbitrarios por parte de un atacante remoto no autenticado, explotando la falta de autenticación en funciones críticas del sistema.

El ataque se realiza mediante solicitudes diseñadas específicamente para aprovechar esta vulnerabilidad, que afecta a múltiples versiones de FortiManager, incluidas versiones en la nube y algunos modelos antiguos de FortiAnalyzer. Los informes han demostrado que esta vulnerabilidad podria estar siendo explotada activamente permitiendo a los atacantes automatizar la exfiltración de archivos que contienen direcciones IP, credenciales y configuraciones de dispositivos gestionados. No obstante, hasta la fecha, no se ha informado de la instalación de malware o puertas traseras en los sistemas FortiManager comprometidos.

Recursos afectados

Los productos y versiones afectadas incluyen:

  • FortiManager:
    • 7.6.0 
    • 7.4.0 a 7.4.4 
    • 7.2.0 a 7.2.7 
    • 7.0.0 a 7.0.12
    • 6.4.0 a 6.4.14
    • 6.2.0 a 6.2.12
  • FortiManager Cloud:
    • 7.4.1 a 7.4.4 
    • 7.2.1 a 7.2.7 
    • 7.0.1 a 7.0.12
    • 6.4 (Todas las versiones, migrar a versiones corregidas)
  • FortiAnalyzer: Modelos como 1000E, 1000F, 2000E, 3000E, entre otros, con la configuración habilitada de FortiManager en FortiAnalyzer.

Solución/Mitigación

Se han lanzado parches de seguridad que solucionan esta vulnerabilidad.

  • FortiManager:
    • Versión >=7.6.1 o superior
    • Versión >=7.4.5 o superior
    • Versión >=7.2.8 o superior
    • Versión >=7.0.13 o superior
    • Versión >=6.4.15 o superior
    • Versión >=6.2.13 o superior
  • FortiManager Cloud:
    • Versión >=7.4.5 o superior
    • Versión >=7.2.8 o superior
    • Versión >=7.0.13 o superior
    • Migrar a versiones corregidas.

Soluciones alternativas: Para aquellos que no puedan aplicar los parches de inmediato, se ofrecen las siguientes mitigaciones:

  1. Configurar FortiManager para denegar el registro de dispositivos desconocidos.
  2. Añadir políticas locales que incluyan en la lista blanca las IP de los dispositivos FortiGates permitidos.

Recomendaciones

  • Actualización Inmediata: Se insta a los usuarios a actualizar las versiones afectadas de FortiManager y FortiManager Cloud a las versiones parcheadas lo antes posible.
  • Monitoreo Activo: Los administradores deben monitorear los sistemas en busca de actividad inusual, como intentos de acceso no autorizado o exfiltración de archivos.
  • Cambio de Credenciales: Cambiar urgentemente las credenciales de los dispositivos gestionados, incluyendo contraseñas y datos sensibles.

Referencias