Критическая уязвимость FortiJump в FortiManager: анализ угрозы и рекомендации по защите

CyberSecureFox 🦊

В октябре 2024 года специалисты по информационной безопасности обнаружили критическую уязвимость в продукте FortiManager компании Fortinet. Эта брешь, получившая название FortiJump (CVE-2024-47575), позволяет злоумышленникам удаленно выполнять произвольный код на уязвимых серверах без аутентификации. Уязвимость оценивается в 9,8 баллов по шкале CVSS, что указывает на чрезвычайно высокий уровень опасности.

Технические детали уязвимости FortiJump

FortiJump затрагивает API FortiManager и связана с протоколом FortiGate to FortiManager (FGFM). Проблема позволяет злоумышленникам регистрировать в панели управления FortiManager устройства с неавторизованными серийными номерами. После регистрации атакующие могут использовать уязвимость для удаленного выполнения кода на сервере FortiManager.

Ключевые аспекты уязвимости:

  • Возможность обхода аутентификации в API FortiManager
  • Использование действующего сертификата Fortinet для создания SSL-туннеля
  • Доступ к управлению легитимными брандмауэрами FortiGate
  • Потенциал для компрометации внутренних сетей клиентов через MSP

Масштаб угрозы и подтвержденные атаки

По данным поисковой системы Shodan, в интернете доступно более 60 000 подключений, потенциально уязвимых к FortiJump. Эксперты компании Mandiant сообщили, что уязвимость активно эксплуатировалась хакерской группой UNC5820 с июня 2024 года. Подтверждено компрометация более 50 серверов.

Fortinet признала, что злоумышленники использовали FortiJump для кражи конфиденциальных данных, включая:

  • IP-адреса
  • Учетные данные
  • Конфигурации управляемых устройств

Однако компания заявила об отсутствии доказательств установки вредоносного ПО или изменения настроек FortiGate на скомпрометированных системах.

Критика в адрес Fortinet и проблемы с раскрытием информации

Действия Fortinet по информированию об уязвимости вызвали критику со стороны клиентов и экспертов по кибербезопасности. Основные претензии:

  • Задержка с публичным раскрытием информации об уязвимости
  • Неполнота данных в приватных уведомлениях клиентам
  • Отсутствие своевременных предупреждений для части пользователей
  • Несоответствие заявленным принципам «ответственной радикальной прозрачности»

Эксперты отмечают, что подобный подход Fortinet к раскрытию информации об уязвимостях наблюдался и ранее, например, в случаях с CVE-2022-42475 и CVE-2023-27997.

Рекомендации по защите и смягчению последствий

Для минимизации рисков, связанных с уязвимостью FortiJump, специалисты рекомендуют следующие меры:

  1. Незамедлительно обновить FortiManager до версий 7.2.8 или 7.4.5
  2. Изменить пароли и конфиденциальные данные на всех управляемых устройствах
  3. Провести аудит систем на предмет возможной компрометации
  4. Ограничить доступ к API FortiManager из недоверенных сетей
  5. Усилить мониторинг сетевой активности и логов FortiManager

Уязвимость FortiJump подчеркивает критическую важность своевременного обновления систем безопасности и применения многоуровневого подхода к защите корпоративных сетей. Организациям следует регулярно проводить оценку рисков и тестирование на проникновение, чтобы выявлять потенциальные уязвимости до того, как ими воспользуются злоумышленники. Только комплексный подход к кибербезопасности может обеспечить надежную защиту в условиях постоянно эволюционирующих угроз.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.