据安全设备商 Fortinet 警告,其软件中存在一个严重漏洞:如果能够启动特定的守护程序,则未经身份验证的攻击者可以利用该漏洞授予对目标系统的完全控制权。
Orange Group 的安全研究员 Cyrille Chatras 发现后,私下发送给 Fortinet 进行披露。该漏洞存在于 FortiManager 和 FortiAnalyzer 的 fgfmsd 守护程序中,程序运行则漏洞能够通过网络被利用。
Fortinet供应商如此警告客户:“ FortiManager 和 FortiAnalyzer fgfmsd 守护程序中的一个 Use After Free(CWE-416)漏洞可能会允许远程、未经身份验证的攻击者通过向目标设备发送特制请求,以次来用管理员身份执行未经授权的代码。”
同时,供应商声称 FGFM 服务在 FortiAnalyzer 中默认处于禁用状态,只能在1000E、2000E、3000D、3000E、3000F、3500E、3500F、3700F和3900E设备上启用。建议安装 FortiManager 和 FortiAnalyzer 的用户升级到最新发布的版本:5.6.11、6.0.11、6.2.8、6.4.6 或 7.0.1 或更高版本,具体取决于客户正在使用的软件的主要版本。
对于正在使用FortiAnalyzer box的客户,一个解决方法就是在管理控制台中输入以下命令,以此手动禁用FortiAnalyzer设备上的FortiManager功能。
“与内存有关的漏洞是一个常见问题,并且通常都会造成严重影响,比方说现在的情况,”应用安全专家 Sean Wright 如是说,“确保对这些漏洞执行适当的检查至关重要,例如通过静止代码扫描仪来检测和防止漏洞出现。”
“或者,在开发周期早期,培训开发人员以知晓这些漏洞的存在,以确保代码的安全开发且在首先就不存在此类缺陷。另一种更激进但并非总是可行的方法是,转向执行自动内存管理的语言,如 Go 或 Java 。”
该漏洞是去年10月至今以来针对 Fortinet 产品的最大漏洞,美国CISA机构警告称,FortiOS SSL 虚拟专用网络(VPN)中的漏洞已经在“多种情况下”被用于访问私有网络。
更多信息可查询 FortiGuard Labs 安全公告。截止7月20日,Fortinet 仍未回应进一步评论的要求。
本文始发于微信公众号(山石网科安全技术研究院):Fortinet 安全设备 FortiManager daemon 存在RCE漏洞
评论