Threat Response - Critical vulnerability in FortiManager
Dear Reader,
On 23 October 2024, Fortinet publicly disclosed [1] a critical vulnerability in FortiManager (CVSSv3: 9.8) which allows remote attackers to take control of FortiManager appliances and other Fortinet appliances managed by it. This vulnerability has been actively exploited on internet-exposed devices since at least 27 June 2024 [2]. In observed campaigns, a threat actor has extracted configurations from both the FortiManager and all connected FortiGates. These configurations contain (VPN) passwords, pre-shared keys, and other secrets, as well as network configurations, firewall rules, and more.
Description
The vulnerability, referenced by CVE-2024-47575, is caused by missing authentication in the FortiManager fgfmd daemon. Unauthenticated attackers, with network/internet access to port 541 and a valid Fortinet certificate (extracted from a Fortinet device or VM), can execute arbitrary code or commands via specially crafted requests from their remote location.
This critical vulnerability was identified for the following products:
- FortiManager 7.6: 7.6.0
-
FortiManager 7.4: 7.4.0 through 7.4.4
-
FortiManager 7.2: 7.2.0 through 7.2.7
-
FortiManager 7.0: 7.0.0 through 7.0.12
-
FortiManager 6.4: 6.4.0 through 6.4.14
-
FortiManager 6.2: 6.2.0 through 6.2.12
-
FortiManager Cloud 7.6: Not affected
-
FortiManager Cloud 7.4: 7.4.1 through 7.4.4
-
FortiManager Cloud 7.2: 7.2.1 through 7.2.7
-
FortiManager Cloud 7.0: 7.0.1 through 7.0.12
- FortiManager Cloud 6.4: 6.4 alle versies
Impact
We estimate the impact of these vulnerability as HIGH, as a remote attacker could exploit this weakness to control Fortinet devices managed by an internet-exposed FortiManager instance. Also, the extraction of the configuration as observed in the active exploitation of this vulnerability could allow an attacker to gain access via other means than this vulnerability in a later stage.
Risk
We estimate the risk of this vulnerability as HIGH due to its significant impact and active exploitation.
What should you do?
- Check whether any of the IoCs given by Fortinet [1] are visible on the FortiManager, or in the firewall logs monitoring outgoing traffic from the FortiManager.
- If you notice signs that you are affected:
- Recover your FortiManager according to the instructions given by Fortinet [1].
- Rotate all secrets stored in your FortiManager and FortiGate appliances (e.g. user passwords, pre-shared keys, service accounts).
- Upgrade your devices to the latest version.
- Consider allowing only known IP addresses to connect to your FortiManager as described by Fortinet in the Workaround section [1].
What will Northwave do?
Northwave performed a threat hunt into available logs to identify potential compromises and added IoCs to the MDR platform. Vulnerability Management clients will be informed in case vulnerable systems are detected in their infrastructure.
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Beste lezer,
Op 23 oktober 2024 publiceerde Fortinet [1] een kritieke kwetsbaarheid in FortiManager (CVSSv3: 9.8) waardoor aanvallers op afstand de controle kunnen overnemen over FortiManager en andere Fortinet-apparaten die ermee worden beheerd. Deze kwetsbaarheid wordt actief misbruikt sinds ten minste 27 juni 2024 [2]. In waargenomen campagnes heeft een threat actor configuraties uit zowel de FortiManager als alle aangesloten FortiGates gehaald. Deze configuraties bevatten (VPN) wachtwoorden, pre-shared keys en andere secrets, maar ook netwerkconfiguraties, firewallregels en meer.
Beschrijving
De kwetsbaarheid, waarnaar wordt verwezen met CVE-2024-47575, wordt veroorzaakt door ontbrekende authenticatie in de FortiManager fgfmd daemon. Een niet-geauthenticeerde aanvaller op kan op afstand met behulp van een geldig Fortinet-certificaat (uit een Fortinet-apparaat of VM) willekeurige code of opdrachten uitvoeren via speciaal gemaakte verzoeken.
Deze kritieke kwetsbaarheid is vastgesteld voor de volgende producten:
- FortiManager 7.6: 7.6.0
- FortiManager 7.4: 7.4.0 tot 7.4.4
- FortiManager 7.2: 7.2.0 tot 7.2.7
- FortiManager 7.0: 7.0.0 t/m 7.0.12
- FortiManager 6.4: 6.4.0 t/m 6.4.14
- FortiManager 6.2: 6.2.0 tot 6.2.12
- FortiManager Cloud 7.6: niet beïnvloed
- FortiManager Cloud 7.4: 7.4.1 t/m 7.4.4
- FortiManager Cloud 7.2: 7.2.1 tot 7.2.7
- FortiManager Cloud 7.0: 7.0.1 tot 7.0.12
- FortiManager Cloud 6.4: 6.4 alle versies
Impact
We schatten de impact van deze kwetsbaarheid in als HOOG, omdat een aanvaller op afstand deze zwakte kan misbruiken om Fortinet-apparaten te bedienen die worden beheerd door de FortiManager instance. Ook zou het extraheren van de configuratie, zoals waargenomen bij de actieve uitbuiting van deze kwetsbaarheid, een aanvaller in staat kunnen stellen om in een later stadium toegang te krijgen via andere wegen dan deze kwetsbaarheid.
Risico
We schatten het risico van deze kwetsbaarheid in als HOOG vanwege de aanzienlijke impact en actieve uitbuiting.
Wat moet u doen?
- Controleer of een van de IoC's gegeven door Fortinet [1] zichtbaar zijn op de FortiManager, of in de firewall logs die uitgaand verkeer van de FortiManager monitoren.
- Als u tekenen ziet dat u bent getroffen:
- Herstel de FortiManager volgens de instructies van Fortinet [1].
- Roteer alle secrets die zijn opgeslagen in de FortiManager en FortiGate appliances (bijv. gebruikerswachtwoorden, pre-shared keys, service accounts)
- Upgrade de apparaten naar de nieuwste versie.
- Overweeg om alleen bekende IP-adressen verbinding te laten maken met de FortiManager zoals beschreven door Fortinet in de Workaround sectie [1].
Wat doet Northwave?
Northwave heeft een threat hunt uitgevoerd op beschikbare logs om potentiële gecompromitteerde systemen te vinden. Daarnaast zijn de IoCs aan het MDR platform toegevoegd. Ook informeren we Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt.
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.
Bronnen
[1]: https://fortiguard.fortinet.com/psirt/FG-IR-24-423
[2]: https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575
[3]: https://advisories.ncsc.nl/advisory?id=NCSC-2024-0423
[2]: https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575
[3]: https://advisories.ncsc.nl/advisory?id=NCSC-2024-0423
Met vriendelijke groet / Kind regards,
Wouter van Kranenburg
Disclaimer
Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.