watchTowr 的安全研究员 Sina Kheirkhah 最近公布了一项关键零日漏洞的技术细节和概念验证 (PoC) 漏洞利用,该漏洞被称为“FortiJump”(CVE-2024-47575)。FortiManager 和 FortiAnalyzer 设备中的这一关键漏洞的 CVSS 评分为 9.8,允许远程、未经身份验证的攻击者利用 FGFM 协议中缺失的身份验证机制来执行任意代码或命令。
Fortinet在其公告中证实:“ FortiManager fgfmd 守护进程中的关键功能漏洞 [CWE-306] 缺少身份验证,可能允许远程未经身份验证的攻击者通过特制的请求执行任意代码或命令。”
该漏洞正在被广泛利用,据报道攻击早在 2024 年 6 月就开始了。美国网络安全和基础设施安全局 (CISA) 已将 CVE-2024-47575 添加到其已知被利用漏洞 (KEV) 目录中,敦促立即采取行动。
Fortinet 透露:“在野外,此次攻击的已知行为是通过脚本自动从 FortiManager 中窃取各种文件,其中包含受管设备的 IP、凭证和配置。 ”
谷歌旗下的 Mandiant 将持续的攻击归咎于新的威胁集群 UNC5820。据报道,攻击者一直在利用该漏洞自动窃取敏感数据,包括存储在 FortiManager 设备中的 IP 地址、凭据和设备配置。
迄今为止,各行各业至少有 50 台 FortiManager 设备被确定为可能受到攻击。攻击活动可以追溯到 2024 年 6 月 27 日,突显了其广泛的影响。
该漏洞影响 FortiManager 的各个版本,包括 7.x、6.x、FortiManager Cloud 7.x 和 6.x。它还会影响具有特定配置的旧版 FortiAnalyzer 型号。
watchTowr 的 Sina Kheirkhah 在GitHub上发布了针对 CVE-2024-47575 的概念验证 (PoC) 漏洞,进一步加剧了组织保护其设备的紧迫性。Fortinet 针对不同版本的 FortiManager 提供了量身定制的解决方法:
1.FortiManager 版本 7.0.12 或更高版本、7.2.5 或更高版本、7.4.3 或更高版本:
-
- 防止未知设备尝试注册。
2.FortiManager 版本 7.2.0 及以上:
-
- 添加本地进入策略以允许列出特定的 IP 地址。
3.FortiManager 版本 7.2.2 及以上、7.4.0 及以上、7.6.0 及以上:
-
- 使用自定义证书建立安全连接。
强烈建议使用 FortiManager 的组织应用可用的解决方法或立即升级到修补版本,以保护其网络免受这一严重威胁。
https://github.com/watchtowrlabs/Fortijump-Exploit-CVE-2024-47575
原文始发于微信公众号(独眼情报):【poc】Fortinet FortiManager 中0day CVE-2024-47575 的 PoC 发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论