Er is recent een belangrijke kwetsbaarheid ontdekt in het FortiManager- systeem van Fortinet, een platform dat veel wordt gebruikt door bedrijven om hun beveiligingsapparaten te beheren. Dit probleem, officieel geregistreerd als CVE-2024-47575, stelt kwaadwillenden in staat om zonder toestemming toegang te krijgen tot bepaalde onderdelen van het systeem.
CVE-2024-47575 bekend als ‘FortiJump’, wordt veroorzaakt door ontbrekende authenticatie in de FortiGate naar FortiManager (FGFM) daemon (fgfmsd). Hierdoor kan een niet-geauthenticeerde, externe aanvaller met een geldig FortiGate-certificaat ongeautoriseerde apparaten registreren in FortiManager. Met alle gevolgen van dien.
Meer info over CVE-2024-47575 op https://nvd.nist.gov/vuln/detail/CVE-2024-47575
Fortinet heeft inmiddels een oplossing vrijgegeven, en bedrijven wordt sterk aangeraden om hun systeem zo snel mogelijk bij te werken naar de laatse 7.0.x,7.2.x of 7.4.x.
Workaround
Indien er gebruik wordt gemaakt van een Fortimanager cloud variant kan de volgende workaround worden toegepast.
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
**Waarschuwing:** Met deze instelling ingeschakeld, houd er rekening mee dat als het serienummer van een FortiGate niet in de apparaatlijst staat, FortiManager zal voorkomen dat het apparaat verbinding maakt om zich te registreren bij implementatie.
Als Fortianalyzer-functies zijn ingeschakeld op FMG, blokkeer dan de toevoeging van ongeautoriseerde apparaten via syslog:
conf system global
set detect-unregistered-log-device disable end
Als FortiGate-updates of webfiltering zijn ingeschakeld, blokkeer dan de toevoeging van ongeautoriseerde apparaten via FDS:
conf fmupdate fds-setting
set unreg-dev-option ignore
end
