網(wǎng)絡安全公司 Fortinet 日前披露了自家軟件產(chǎn)品 FortiManager 存在的一個關鍵零日漏洞，能夠允許未經(jīng)身份驗證的遠程攻擊者通過特制請求執(zhí)行任意代碼或命令。目前該漏洞已在野外被積極利用。

根據(jù) Fortinet 10月23日發(fā)布的報告，該漏洞被追蹤為CVE-2024-47575，CVSS v3 評分高達9.8，對多個版本的 FortiManager 以及 FortiManager Cloud 都有影響。該公司已經(jīng)發(fā)布了一個補丁，并列出了用戶可以采用的幾種解決方法。

報告表明，該漏洞已被利用以自動從 FortiManager 中泄露敏感文件，包括 IP 地址、憑證和托管設備配置，但目前尚未收到在受感染的 FortiManager 系統(tǒng)上安裝任何惡意軟件或后門的低級系統(tǒng)報告。

參與此漏洞調查的Mandiant表示，一個新的威脅組織UNC5820早在 2024 年 6 月 27 日就利用了 FortiManager 漏洞，泄露并暫存了FortiManager 管理的 FortiGate 設備配置數(shù)據(jù)，其中包含受托管設備的詳細配置信息以及用戶的 FortiOS256 加密密碼，這些數(shù)據(jù)可能被 UNC5820 用來進一步破壞 FortiManager，并在企業(yè)環(huán)境中橫向移動。

目前Mandiant無法確定利用漏洞的攻擊者身份及其最終目的，因此提醒任何 FortiManager 暴露在互聯(lián)網(wǎng)上的組織都應立即進行取證調查。

受影響的版本和緩解措施

該漏洞影響 FortiManager 和 FortiManager Cloud 的多個版本：

• FortiManager：版本 7.6.0、7.4.0 到 7.4.4、7.2.0 到 7.2.7、7.0.0 到 7.0.12 以及 6.4.0 到 6.4.14。
• FortiManager Cloud：版本 7.4.1 到 7.4.4、7.2（所有版本）和 7.0（所有版本）。

Fortinet 已經(jīng)發(fā)布了這些版本的補丁，并敦促用戶立即升級到安全版本。此外，某些版本還提供了解決方法，包括阻止未知設備注冊和使用自定義證書進行身份驗證。

Fortinet 建議立即采取措施保護受影響的系統(tǒng)：

• 升級：安裝 FortiManager 的最新補丁，如果使用 FortiManager Cloud，請遷移到固定版本。
• 查看配置：通過將配置與 IoC 檢測之前獲取的備份進行比較，確保配置未被篡改。
• 更改憑證：更新所有托管設備的密碼和用戶敏感數(shù)據(jù)。
• 隔離受感染的系統(tǒng)：將受感染的 FortiManager 系統(tǒng)與互聯(lián)網(wǎng)隔離，并將其配置為離線模式，以便與新設置進行比較。