Af Eskil Sørensen, 22/10/24
I de sidste par dage har Fortinet udgivet kritiske sikkerhedsopdateringer til FortiManager for at rette en kritisk sårbarhed, som efter sigende bliver udnyttet af kinesiske trusselsaktører.
Det skriver HelpNet Security.
Der er ikke offentliggjort detaljer om sårbarheden. Ikke fordi det er usædvanligt. Mere usædvanligt er det, at sårbarheden ikke har fået et CVE-nummer endnu, hvilket ellers er sædvanen, når sårbarheder bliver mere eller mindre kendt for offentligheden.
Fortinet er imidlertid kendt for at ”skubbe rettelser til kritiske sårbarheder ud, før de afslører deres eksistens til offentligheden”, som HelpNet Security formulerer det. I dette tilfælde har Fortinet yderligere privat underrettet udvalgte kunder for en uge siden og delt midlertidige råd om afhjælpning. Angiveligt handler afhjælpningen om, at man skal konfigurere FortiManager for at forhindre enheder med et ukendt serienummer (dvs. en uautoriseret enhed) i at registrere/oprette forbindelse til dem.
Et andet relevant råd er at begrænse adgangen til FortiManager-installationer og naturligvis i øvrigt implementere patches, når de er udgivet. Nogle er allerede tilgængelige fra Fortinets supportportal, fremgår det af HelpNet Security, der spekulerer i, at den foreslåede afhjælpning kan indikere, at problemet ligger i "Fortigate to FortiManager" (fgfm) forbindelses-/kommunikations-/administrationskapaciteten.
En anden spekulation er, om den nye sårbarhed er relateret til CVE-2024-23113, som er en ”format string”-sårbarhed, der påvirker FortiOS fgfm-deamon. Denne sårbarhed fik ved offentliggørelsen en CVSS-score på 9,8 og blev tidligere på året patchet i FortiOS, FortiPAM, FortiProxy og FortiWeb.
I starten af måneden satte CISA den i sit katalog over kendte, udnyttede sårbarheder med deadline for håndtering den 30. oktober.
Links:
https://www.helpnetsecurity.com/2024/10/21/fortimanager-critical-vulnera...