ISGroup Conseil en Cybersécurité

Vulnérabilité zero-day critique dans FortiManager et les appareils FortiGate permettant l’exécution de code à distance

Les pare-feu FortiGate et FortiManager sont largement utilisés dans les réseaux d’entreprise et chez les fournisseurs de services gérés (MSP) pour centraliser la configuration et la gestion de l’infrastructure de sécurité. Une vulnérabilité zero-day récemment découverte permet aux attaquants d’exploiter une faiblesse dans le protocole de communication (FGFM) entre les appareils FortiGate et FortiManager, entraînant des accès non autorisés aux réseaux internes. Plus de 60 000 instances de FortiManager sont actuellement exposées sur Internet, ce qui augmente le risque d’exploitation. Plus précisément, ce problème permet l’exécution de code à distance (RCE) sur FortiManager via l’enregistrement malveillant de faux appareils FortiGate.

ProduitFortinet FortiManager
Date23-10-2024 15:49:14
Informations
  • Exploitation active

Résumé technique

La vulnérabilité réside dans le protocole FGFM (port 541), qui permet la communication entre les pare-feu FortiGate et FortiManager. Les attaquants volent ou réutilisent des certificats légitimes provenant d’appareils FortiGate compromis et les utilisent pour enregistrer leurs propres faux appareils au sein d’un système FortiManager. Une fois enregistrés, les attaquants peuvent exploiter la vulnérabilité pour obtenir une RCE sur FortiManager. Cela leur donne la capacité de contrôler les pare-feu FortiGate gérés, d’exfiltrer des configurations et des identifiants, et de propager d’autres attaques au sein du réseau. La conception du protocole FGFM prend en charge la traversée NAT, ce qui signifie que les attaquants qui compromettent un seul pare-feu géré peuvent se déplacer latéralement entre FortiManager et d’autres appareils du réseau géré, compromettant potentiellement l’ensemble de l’infrastructure. Des acteurs malveillants, y compris des groupes parrainés par des États, ont été observés en train d’exploiter cette vulnérabilité depuis le début de l’année 2024.

Recommandations

  • Limiter l’accès à FortiManager (port 541) en ne l’autorisant qu’aux adresses IP de confiance.
  • Configurer FortiManager pour rejeter les numéros de série inconnus et empêcher l’ajout d’appareils non autorisés.
  • Révoquer et réémettre les certificats utilisés pour l’authentification des appareils afin de bloquer toute réutilisation non autorisée.
  • Appliquer dès leur disponibilité les correctifs de sécurité publiés par Fortinet qui traitent cette vulnérabilité.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *