Fortinet alerta sobre la vulnerabilidad crítica CVE-2024-47575 en FortiManager, activamente explotada. Los usuarios deben aplicar urgentemente los parches recomendados para mitigar el riesgo de acceso no autorizado a configuraciones y credenciales en dispositivos gestionados.
Fortinet ha anunciado la existencia de una vulnerabilidad de día cero en su herramienta de gestión de firewalls, FortiManager, identificada como CVE-2024-47575. Esta vulnerabilidad está siendo activamente explotada por atacantes remotos que no requieren autenticación. El software es utilizado por proveedores de servicios gestionados, entidades gubernamentales y otros clientes, quienes ahora enfrentan un riesgo significativo. Según Fortinet, los atacantes están empleando scripts para automatizar la extracción de diversos archivos del FortiManager, los cuales contienen direcciones IP, credenciales y configuraciones de los dispositivos gestionados. La empresa afirmó en su aviso que hasta el momento no han recibido reportes sobre la instalación de malware o puertas traseras en los sistemas afectados, aunque este comentario podría no aliviar las preocupaciones de los clientes, a quienes se les informó de la vulnerabilidad de manera privada la semana pasada.
Acerca de la vulnerabilidad CVE-2024-47575
La vulnerabilidad identificada como CVE-2024-47575 afecta a FortiManager, encargado de la administración de los firewalls FortiGate y que opera en el puerto 541. Fortinet ha divulgado públicamente esta falla crítica, la cual está siendo explotada activamente y posee una severidad calificada de 9.8 sobre 10. Según una búsqueda realizada en Shodan por el investigador de seguridad Kevin Beaumont, más de 60,000 instancias de FortiManager están accesibles públicamente [1]. Beaumont señaló que Fortinet cometió múltiples errores en la implementación de FortiManager, permitiendo por defecto que cualquier dispositivo, incluso aquellos sin un número de serie reconocido, se registre y sea gestionado automáticamente [2] [3]. En el aviso de seguridad [4], Fortinet advierte: «Una vulnerabilidad de falta de autenticación para funciones críticas [CWE-306] en el daemon fgfmd de FortiManager puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas.».
Productos y versiones afectadas
Fortinet [4] informa que la vulnerabilidad CVE-2024-47575 en FortiManager afecta a las siguientes versiones, para las cuales se dispone de guías de mitigación:
Tabla 1. Productos y versiones afectadas
| Versión | Afectada | Solución |
| FortiManager 7.6 | 7.6.0 | Actualizar a la versión 7.6.1 o superior |
| FortiManager 7.4 | 7.4.0 hasta 7.4.4 | Actualizar a la versión 7.4.5 o superior |
| FortiManager 7.2 | 7.2.0 hasta 7.2.7 | Actualizar a la versión 7.2.8 o superior |
| FortiManager 7.0 | 7.0.0 hasta 7.0.12 | Actualizar a la versión 7.0.13 o superior |
| FortiManager 6.4 | 6.4.0 hasta 6.4.14 | Actualizar a la versión 6.4.15 o superior |
| FortiManager 6.2 | 6.2.0 hasta 6.2.12 | Actualizar a la versión 6.2.13 o superior |
| FortiManager Cloud 7.6 | No afectado | No aplica |
| FortiManager Cloud 7.4 | 7.4.1 hasta 7.4.4 | Actualizar a la versión 7.4.5 o superior |
| FortiManager Cloud 7.2 | 7.2.1 hasta 7.2.7 | Actualizar a la versión 7.2.8 o superior |
| FortiManager Cloud 7.0 | 7.0.1 hasta 7.0.12 | Actualizar a la versión 7.0.13 o superior |
| FortiManager Cloud 6.4 | Todas las versiones | Migrar a una versión corregida |
Los modelos antiguos de FortiAnalyzer: 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G y 3900E, con la siguiente función activada (FortiManager en FortiAnalyzer):
config system global
set fmg-status enable
end
y al menos una interfaz con el servicio fgfm habilitado, también se ven afectados por esta vulnerabilidad.
Recomendaciones urgentes
La acción recomendada por Fortinet para asegurar que la configuración de FortiManager no haya sido alterada requiere «reconstruir la base de datos o resíncronizar la configuración de los dispositivos a nivel de ADOM de Dispositivo y Paquete de Políticas» [1]. Las propuestas son:
- Instalar una nueva VM de FortiManager o reiniciar un modelo de hardware, y luego agregar o descubrir los dispositivos.
- Instalar una nueva VM de FortiManager o reiniciar un modelo de hardware, y restaurar una copia de seguridad realizada antes de la detección de los indicadores de compromiso (IoC).
Workarounds
Se recomienda actualizar a una versión corregida del software. Alternativamente, si la actualización no es posible, aplique una de las siguientes soluciones provisionales, de acuerdo con la versión actualmente en ejecución [4].
- Para las versiones de FortiManager 7.0.12 o superiores, 7.2.5 o superiores, 7.4.3 o superiores (pero no 7.6.0), evite que dispositivos desconocidos intenten registrarse:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
Advertencia: Con esta configuración habilitada, tenga en cuenta que, si el número de serie de un FortiGate no está en la lista de dispositivos, FortiManager evitará que se conecte para registrarse cuando se despliegue, incluso si coincide con un dispositivo de modelo con PSK.
- Alternativamente, para las versiones de FortiManager 7.2.0 y superiores, puede agregar políticas de local-in para permitir las direcciones IP de los FortiGates que tienen permiso para conectarse.
Ejemplo:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
- Para las versiones 7.2.2 y superiores, 7.4.0 y superiores, 7.6.0 y superiores, también es posible usar un certificado personalizado que mitigará el problema:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
Y debe instalar ese certificado en los FortiGates. Solo este CA será válido, lo que puede actuar como una solución temporal, siempre que el atacante no pueda obtener un certificado firmado por este CA a través de un canal alternativo.
Nota: Para las versiones de FortiManager 6.2, 6.4 y 7.0.11 o inferiores, actualice a una de las versiones mencionadas anteriormente y aplique las soluciones alternativas descritas.
Indicadores de Compromiso
Tabla 2. Indicadores de Compromiso
| Entradas en los registros (logs) | type=event,subtype=dvm,pri=information,desc=»Device,manager,generic,information,log»,user=»device,…»,msg=»Unregistered device localhost add succeeded» device=»localhost» adom=»FortiManager» session_id=0 operation=»Add device» performed_on=»localhost» changes=»Unregistered device localhost add succeeded» |
| type=event,subtype=dvm,pri=notice,desc=»Device,Manager,dvm,log,at,notice,level»,user=»System»,userfrom=»»,msg=»» adom=»root» session_id=0 operation=»Modify device» performed_on=»localhost» changes=»Edited device settings (SN FMG-VMTM23017412)» | |
| Direcciones IP | 45.32.41.202 |
| 104.238.141.143 | |
| 158.247.199.37 | |
| 45.32.63.2 | |
| Número de Serie | FMG-VMTM23017412 |
| Archivos | /tmp/.tm |
| /var/tmp/.tm |
Referencia:
[1] E. Targett, «The Stack,» [En línea]. Available: https://www.thestack.technology/fortinet-zero-day-fortiguard-vulnerability-cve-2024-47575/.
[2] D. Goodin, «Ars Technica,» [En línea]. Available: https://arstechnica.com/security/2024/10/fortinet-stays-mum-on-critical-0-day-reportedly-under-active-exploitation/.
[3] L. Abrams, «Bleeping Computer,» [En línea]. Available: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/.
[4] «FortiGuard,» [En línea]. Available: https://fortiguard.fortinet.com/psirt/FG-IR-24-423.
