Cảnh báo lỗ hổng nghiêm trọng trong FortiManager: CVE-2024-47575

Vào ngày 23/10/2024, Fortinet đã công bố lỗ hổng CVE-2024-47575, được đánh giá mức độ nghiêm trọng là 9.8 trên thang điểm 10.

Theo thông tin từ Fortinet FG-IR-24-423, đây là một lỗ hổng thiếu xác thực cho các chức năng quan trọng (CWE-306) trong daemon fgfmd của FortiManager. Điều này có thể cho phép kẻ tấn công từ xa không xác thực thực thi lệnh tùy ý. Lỗ hổng này đã bị khai thác bởi nhóm tin tặc UNC5820 trong các cuộc tấn công toàn cầu nhằm chiếm quyền điều khiển FortiManager và lấy cắp dữ liệu nhạy cảm từ các thiết bị FortiGate mà nó quản lý.

CVE-2024-47575 bắt nguồn từ việc thiếu cơ chế xác thực quan trọng trong quá trình xử lý yêu cầu của dịch vụ fgfmsd của FortiManager. Kẻ tấn công có thể gửi các yêu cầu độc hại qua cổng TCP/541 để thực thi lệnh tùy ý trên FortiManager, dẫn đến nguy cơ lớn về bảo mật và ảnh hưởng tới hệ thống.

Cuộc tấn công đã bắt đầu từ tháng 6/2024, và nhóm UNC5820 đã khai thác lỗ hổng này trên hơn 50 thiết bị FortiManager trên toàn cầu, bao gồm cả việc đánh cắp thông tin cấu hình và mật khẩu từ các thiết bị FortiGate. Mặc dù không có dấu hiệu cho thấy các thông tin này đã được sử dụng để tấn công thêm, nhưng nguy cơ về các cuộc tấn công trong tương lai vẫn còn rất cao.

Phương thức khai thác

  • Xác định thiết bị mục tiêu: Kẻ tấn công sử dụng các công cụ quét mạng để phát hiện các thiết bị FortiManager có cổng TCP/541 mở công khai trên internet. Các thiết bị FortiManager có thể bị khai thác tại Việt Nam có thể tìm qua truy vấn sau trên Shodan: port:541 xab country:"VN"

  • Tấn công qua cổng TCP/541: Kẻ tấn công gửi các yêu cầu độc hại qua cổng TCP/541, nhắm vào dịch vụ fgfmsd của FortiManager, để khai thác lỗ hổng xác thực thiếu sót.

  • Thực thi mã từ xa (RCE): Khi lỗ hổng bị khai thác thành công, kẻ tấn công có thể thực thi lệnh tùy ý trên hệ thống FortiManager, với quyền cao nhất, cho phép kiểm soát hoàn toàn hệ thống.

  • Thêm thiết bị giả: Nhóm UNC5820 đã lợi dụng lỗ hổng này để thêm thiết bị của họ vào danh sách thiết bị quản lý của FortiManager, giả danh là một thiết bị hợp pháp. Điều này cho phép kẻ tấn công thu thập dữ liệu cấu hình và thông tin đăng nhập của các thiết bị FortiGate được quản lý.

Tác động

  • Thực thi mã từ xa (RCE): Lỗ hổng cho phép kẻ tấn công thực thi mã với quyền root trên hệ thống FortiManager và các thiết bị FortiGate được quản lý, dẫn đến nguy cơ chiếm quyền kiểm soát toàn bộ hệ thống.

  • Rò rỉ thông tin nhạy cảm: Kẻ tấn công có thể thu thập thông tin cấu hình và mật khẩu từ các thiết bị FortiGate, mở ra cánh cửa cho các cuộc tấn công tiếp theo, chẳng hạn như leo thang đặc quyền hoặc tấn công mạng sâu hơn.

  • Lan rộng tấn công: Nếu FortiManager quản lý nhiều thiết bị FortiGate, kẻ tấn công có thể sử dụng quyền truy cập này để mở rộng cuộc tấn công, kiểm soát nhiều thiết bị trong mạng và thực hiện các hành vi xâm nhập thêm.

Phiên bản ảnh hưởng

Lỗ hổng CVE-2024-47575 ảnh hưởng đến nhiều phiên bản FortiManager. Cụ thể, các phiên bản bị ảnh hưởng bao gồm:

  • FortiManager 7.6 (trước 7.6.1)
  • FortiManager 7.4 (7.4.0 - 7.4.4)
  • FortiManager 7.2 (7.2.0 - 7.2.7)
  • FortiManager 7.0 (7.0.0 - 7.0.12)
  • FortiManager 6.4 (6.4.0 - 6.4.14)
  • FortiManager 6.2 (6.2.0 - 6.2.12)
  • Các phiên bản FortiManager Cloud cũng bị ảnh hưởng

Khuyến nghị

Cập nhật phần mềm ngay lập tức:

Fortinet đã phát hành bản vá cho các phiên bản FortiManager bị ảnh hưởng, bao gồm các phiên bản: 7.6.1, 7.4.5, 7.2.8, 7.0.13. Việc cập nhật là biện pháp duy nhất để ngăn chặn lỗ hổng này khỏi bị khai thác.

Kích hoạt tính năng ngăn chặn kết nối trái phép:

Để ngăn chặn thiết bị trái phép kết nối với FortiManager, kích hoạt tùy chọn fgfm-deny-unknown bằng các lệnh sau:

config system global
set fgfm-deny-unknown enable
end

Cấu hình chính sách IP cục bộ:

Sử dụng chính sách IP cục bộ để chỉ cho phép các địa chỉ IP tin cậy kết nối với FortiManager. Điều này tạo thêm lớp bảo mật ngăn chặn kết nối trái phép.

Khôi phục hệ thống bị ảnh hưởng:

Đối với các tổ chức đã bị tấn công, Fortinet đề xuất hai phương pháp khôi phục:

  • Cài đặt lại FortiManager: Cài đặt một hệ thống mới hoặc VM mới và khôi phục từ bản sao lưu trước khi phát hiện dấu hiệu tấn công.
  • Khôi phục hệ thống thủ công: Kiểm tra cấu hình hiện tại và xác nhận tính toàn vẹn của hệ thống, loại bỏ các thành phần bị ảnh hưởng và khôi phục cơ sở dữ liệu nếu cần.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: