Fortimanager: Hacker attackieren kritische Fortinet-Lücke seit Wochen
Mehrere Versionen von Fortimanager und Fortimanager Cloud, mit denen Unternehmen verschiedene Cybersicherheitsprodukte des Herstellers Fortinet verwalten können, sind anfällig für eine kritische Sicherheitslücke, die offenbar schon seit Wochen aktiv ausgenutzt wird. Die Lücke ist als CVE-2024-47575(öffnet im neuen Fenster) registriert, erreicht einen CVSS-Wert von 9,8 und ermöglicht es Angreifern, auf anfälligen Systemen aus der Ferne Schadcode auszuführen.
Wie Fortinet in einer Sicherheitsmeldung(öffnet im neuen Fenster) erklärt, liegt die Ursache für die Schwachstelle in einer fehlenden Authentifizierung für eine kritische Funktion im fgfmd-Daemon von Fortimanager. Ausnutzen lässt sich die Lücke demnach durch speziell gestaltete Anfragen, die beim Einsatz einer anfälligen Version des Tools eine gezielte Befehlsausführung zur Folge haben können.
Administratoren wird empfohlen, betroffene Systeme möglichst zeitnah auf eine korrigierte Fortimanager-Version zu aktualisieren. Eine Liste der gepatchten Versionen ist in der Sicherheitsmeldung des Anbieters(öffnet im neuen Fenster) zu finden. Darin schlägt das Unternehmen zudem mehrere alternative Workarounds vor, die sich je nach verwendeter Fortimanager-Version unterscheiden.
Angreifer beschaffen sich Daten über weitere Fortinet-Geräte
Fortinet bestätigt in seiner Meldung auch, dass CVE-2024-47575 bereits aktiv ausgenutzt wird und liefert mehrere IoCs (Indicators of Compromise), die auf entsprechende Angriffe hindeuten - darunter Protokolleinträge, IP-Adressen und von den Angreifern erzeugte Dateien.
Bei den beobachteten Angriffen wurden laut Fortinet mit einem Skript automatisiert Dateien von Fortimanager exfiltriert. Darin waren jeweils die IP-Adressen, Zugangsdaten und Konfigurationen der mit dem Tool verwalteten Geräte enthalten. Hinweise auf von den Angreifern durchgeführte Änderungen an Datenbanken, Verbindungen oder den verwalteten Geräten gebe es jedoch bisher nicht, betont der Hersteller.
Fast 60.000 Instanzen online erreichbar
Bekannt ist CVE-2024-47575 schon etwas länger, da Fortinet seine Kunden vorab über die Schwachstelle informiert(öffnet im neuen Fenster) hatte. Der unabhängige Sicherheitsforscher Kevin Beaumont warnte auf Mastodon schon am 13. Oktober(öffnet im neuen Fenster) vor der Lücke, die er selbst in einem Blogbeitrag(öffnet im neuen Fenster) als "Fortijump" bezeichnet.
In seinem Blog betont der Forscher, dass es weltweit fast 60.000 über das Internet erreichbare Fortinet-Instanzen gibt, die über das problematische FGFM-Protokoll (Fortigate to Fortimanager) erreichbar sind. Wie er zudem anhand eines Honeypots feststellen konnte, wird CVE-2024-47575 auch in Kombination mit der schon seit Monaten bekannten und auf vielen Systemen noch immer ungepatchten Fortinet-Lücke CVE-2024-23113(öffnet im neuen Fenster) ausgenutzt.
Wie lange genau CVE-2024-47575 schon von Hackern eingesetzt wird, ist unklar. Beaumont behauptet jedoch auf Mastodon(öffnet im neuen Fenster) , es gebe inzwischen Hinweise darauf, dass dies mindestens seit August der Fall ist.