O vulnerabilitate critică RCE în Fortinet este exploatată în atacuri

CISA a dezvăluit că persoanele rău intenționate exploatează în mod activ o vulnerabilitate critică de executare de cod de la distanță (RCE) în FortiOS.

Vulnerabilitatea, CVE-2024-23113, este cauzată de faptul că daemon-ul fgfmd acceptă ca parametru un string de tip externally controlled format, ceea ce poate permite atacatorilor neautentificați să execute comenzi sau cod arbitrar pe dispozitivele neactualizate în atacuri de complexitate redusă ce nu necesită interacțiunea utilizatorului.

După cum explică Fortinet, daemon-ul fgfmd vulnerabil rulează pe FortiGate și FortiManager, gestionând toate solicitările de autentificare și mesajele keep-alive între acestea (precum și toate acțiunile rezultate, cum ar fi solicitarea altor procese de a actualiza fișiere sau baze de date).

CVE-2024-23113 afectează FortiOS 7.0 și versiunile ulterioare, FortiPAM 1.0 și versiunile ulterioare, FortiProxy 7.0 și versiunile ulterioare și FortiWeb 7.4.

Compania a dezvăluit și a remediat această vulnerabilitate în februarie, când a sfătuit administratorii să elimine accesul la daemon-ul fgfmd pentru toate interfețele ca măsură de atenuare menită să blocheze potențialele atacuri.

Rețineți că acest lucru va împiedica detectarea FortiGate de la FortiManager. Conexiunea va fi încă posibilă de la FortiGate, a declarat Fortinet.

Rețineți, de asemenea, că o politică local-in care permite numai conexiuni FGFM de la un anumit IP va reduce suprafața de atac, dar nu va împiedica exploatarea vulnerabilității de la acest IP. În consecință, acest lucru ar trebui să fie utilizat ca o limitare și nu ca o soluție de remediere completă, a semnalat Fortinet.

Deși Fortinet nu și-a actualizat încă avizul din februarie pentru a confirma exploatarea CVE-2024-23113, CISA a adăugat miercuri vulnerabilitatea la catalogul său de vulnerabilități exploatate cunoscute.

Sursă: https://www.bleepingcomputer.com/news/security/cisa-says-critical-fortinet-rce-flaw-now-exploited-in-attacks