Wallarmレポート: UNC5820が使用する重大なFortiManager APIの欠陥を暴露
Wallarmは、FortiGateデバイスを管理するプラットフォームであるFortiManagerの重大なAPI脆弱性に関するレポートを公開した。CVE-2024-47575として知られるこの脆弱性には、CVSS V3の深刻度評価9.8が割り当てられており、この脆弱性がもたらす重大なリスクを強調している。fgfmdデーモンに認証がないため、攻撃者はこの欠陥を悪用して任意のコードやコマンドを実行する可能性がある。この脆弱性は、UNC5820と呼ばれる脅威クラスターによって既に悪用されており、侵害されたFortiManagerによって管理されているFortiGateデバイスから機密構成データを抽出するために使用された。
FortiGate to FortiManager Protocol(FGFM)を使用すると、顧客はFortiGateファイアウォールデバイスを導入し、リモートFortiManagerサーバーに登録して集中管理できる。しかし、FGFM APIは認証バイパスに対して脆弱であることが判明しており、認証されていない攻撃者がコマンドを実行し、機密情報を取得し、環境を侵害する可能性がある。脆弱性の重大性にもかかわらず、脅威アクターがこの脆弱性を悪用したり、取得した構成データを使用して環境を制御したりしたという証拠はない。
エクスプロイトの試みは、ポートTCP/541の特定のIPアドレスからの複数の受信接続にまで遡りました。ファイルシステムには、Gzip圧縮されたアーカイブ内のさまざまなFortinet構成ファイルのステージングが記録されていた。別のエクスプロイトの試みも同じパターンに従い、脅威アクターのデバイスが標的のFortiManagerに登録された。エクスプロイトが成功すると、脅威アクターのFortinetデバイスが、シリアル番号とIPアドレスとともにFortiManagerコンソールに表示された。
FortiManager APIの脆弱性を軽減するには、FortiManagerのバージョンに応じて、修正バージョンにアップグレードするか、推奨される回避策のいずれかを使用することが推奨される。これらの回避策には、不明なデバイスの登録試行の防止、syslogまたはFDSによる未承認デバイスの追加ブロック、承認されたFortiGateのIPアドレスを許可するローカル入力ポリシーの使用、カスタム証明書の使用などがある。攻撃が成功した場合の回復方法としては、新しいFortiManager VMのインストール、ハードウェアモデルの再初期化とデバイスの追加・検出、またはIoC検出前のバックアップの復元などがある。
出典:Wallarm