W ostatnich miesiącach odkryto trzy poważne luki bezpieczeństwa dotyczące produktów Fortinet oraz OpenSSH, które mogą pozwolić na zdalne wykonanie kodu przez atakujących. Każda z tych luk posiada unikalne wektory ataku, które mogą być wykorzystane do uzyskania nieautoryzowanego dostępu do systemów. Niniejszy artykuł opisuje zagrożenia i zawiera szczegółowe informacje na temat zaleceń dotyczących aktualizacji oraz możliwych obejść. Poniżej znajdują się szczegółowe informacje o każdej luce oraz kroki, które należy podjąć, aby zabezpieczyć systemy.
Spis treści:
Luka 1: FortiOS – Zdalne wykonanie kodu (CWE-134)
Fortinet poinformował o luce bezpieczeństwa w FortiOS dotyczącą sposobu, w jaki proces fgfmd obsługuje niektóre zewnętrzne żądania. Błąd ten umożliwia zdalne wykonanie dowolnego kodu lub komend, co może dać atakującym pełną kontrolę nad systemem.
Jakie produkty i ich wersje są podatne?
Produkt | Podatne wersje | Zalecenie |
---|---|---|
FortiOS 7.4 | 7.4.0 do 7.4.2 | Aktualizacja do 7.4.3 lub wyższej |
FortiOS 7.2 | 7.2.0 do 7.2.6 | Aktualizacja do 7.2.7 lub wyższej |
FortiOS 7.0 | 7.0.0 do 7.0.13 | Aktualizacja do 7.0.14 lub wyższej |
FortiPAM 1.3 | Nie dotyczy | Nie dotyczy |
FortiPAM 1.2 | 1.2 wszystkie wersje | Migracja do poprawionej wersji |
FortiPAM 1.1 | 1.1 wszystkie wersje | Migracja do poprawionej wersji |
FortiPAM 1.0 | 1.0 wszystkie wersje | Migracja do poprawionej wersji |
FortiProxy 7.4 | 7.4.0 do 7.4.2 | Aktualizacja do 7.4.3 lub wyższej |
FortiProxy 7.2 | 7.2.0 do 7.2.8 | Aktualizacja do 7.2.9 lub wyższej |
FortiProxy 7.0 | 7.0.0 do 7.0.15 | Aktualizacja do 7.0.16 lub wyższej |
FortiSwitchManager 7.2 | 7.2.0 do 7.2.3 | Aktualizacja do 7.2.4 lub wyższej |
FortiSwitchManager 7.0 | 7.0.0 do 7.0.3 | Aktualizacja do 7.0.4 lub wyższej |
Aby ograniczyć ryzyko związane z luką w FortiOS (CWE-134), można wprowadzić tymczasowe obejście polegające na usunięciu dostępu administracyjnego FMG – access (fgfm). W ten sposób blokuje się możliwość zdalnego połączenia wykorzystując fgfm i zmniejszając ryzyko wykorzystania luki.
Skopiuj poniższy kod w całości:
config system interface
edit "portX" # Zastąp "portX" nazwą swojego interfejsu
set allowaccess ping https ssh
next
end
Powyższa konfiguracja usunie dostęp administracyjny fgfm z listy dozwolonych usług na wybranym interfejsie, pozostawiając tylko ping, https, i ssh.
To obejście zablokuje wykrywanie urządzenia przez FortiManager, ale nadal pozwoli na połączenia z FortiGate. Dodatkowe zabezpieczenie można osiągnąć poprzez skonfigurowanie polityki local-in, która pozwoli na połączenia fgfm tylko z określonych, zaufanych adresów IP.
Luka 2: FortiManager – Brak uwierzytelnienia dla kluczowej funkcji (CWE-306)
Fortinet zidentyfikował lukę bezpieczeństwa w FortiManager dotyczącą braku uwierzytelnienia dla kluczowej funkcji, co umożliwia zdalne wykonanie dowolnych komend przez nieautoryzowane urządzenia. Luka ta dotyczy również starszych modeli FortiAnalyzer (m.in. 1000E, 2000E, 3000E), jeśli jest w nich włączona funkcja FortiManager oraz dostęp administracyjny fgfm. Zaleca się pilne aktualizacje dla dotkniętych wersji.
Produkt | Podatne wersje | Zalecenie |
---|---|---|
FortiManager 7.6 | 7.6.0 | Aktualizacja do 7.6.1 lub wyższej |
FortiManager 7.4 | 7.4.0 do 7.4.4 | Aktualizacja do 7.4.5 lub wyższej |
FortiManager 7.2 | 7.2.0 do 7.2.7 | Aktualizacja do 7.2.8 lub wyższej |
FortiManager 7.0 | 7.0.0 do 7.0.12 | Aktualizacja do 7.0.13 lub wyższej |
FortiManager 6.4 | 6.4.0 do 6.4.14 | Aktualizacja do 6.4.15 lub wyższej |
FortiManager 6.2 | 6.2.0 do 6.2.12 | Aktualizacja do 6.2.13 lub wyższej |
FortiManager Cloud 7.6 | Nie dotyczy | Nie dotyczy |
FortiManager Cloud 7.4 | 7.4.1 do 7.4.4 | Aktualizacja do 7.4.5 lub wyższej |
FortiManager Cloud 7.2 | 7.2.1 do 7.2.7 | Aktualizacja do 7.2.8 lub wyższej |
FortiManager Cloud 7.0 | 7.0.1 do 7.0.12 | Aktualizacja do 7.0.13 lub wyższej |
FortiManager Cloud 6.4 | 6.4 wszystkie wersje | Migracja do poprawionej wersji |
Rozwiązania tymczasowe (Workarounds)
Jeśli aktualizacja jest niemożliwa, poniżej przedstawiono możliwe obejścia:
Blokowanie nieautoryzowanych urządzeń: Dla wersji FortiManager 7.0.12, 7.2.5, 7.4.3 i nowszych (poza 7.6.0), należy wyłączyć możliwość rejestracji nieznanych urządzeń:
config system global
set fgfm-deny-unknown enable
end
Uwaga: Jest to zalecane tylko dla FortiManager Cloud.
Jeśli na FortiManager są włączone funkcję związane z FortiAnalyzer można zablokować możliwość dodawania urządzeń, które nie zostały wcześniej autoryzowane (syslog oraz FDS):
# Blokowanie przez logi
config system global
set detect-unregistered-log-device disable
end
# Blokowanie przez FDS
config fmupdate fds-setting
set unreg-dev-option ignore
end
Stosowanie polityki local-in: Dla FortiManager wersji 7.2.0 i nowszych można ustawić politykę local-in, aby dopuścić połączenia tylko z zaufanych adresów IP:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
Certyfikaty jako zabezpieczenie: W wersjach 7.2.2, 7.4.0 i 7.6.0 i wyższych można użyć certyfikatów, aby ograniczyć dostęp do urządzeń, które posiadają właściwy certyfikat:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
Certyfikat ten należy zainstalować na FortiGate, aby tylko urządzenia z ważnym certyfikatem miały dostęp.
Wskaźniki Kompromitacji (IoC)
Aby monitorować ewentualne próby ataku, można sprawdzać logi zdarzeń w poszukiwaniu wpisów sugerujących nieautoryzowane dodawanie urządzeń lub modyfikację ustawień. Istnieją także konkretne adresy IP i numery seryjne, które mogą wskazywać na próby naruszenia bezpieczeństwa:
- Adresy IP: np. 45.32.41.202, 158.247.199.37, 195.85.114.78
- Numery seryjne: np. FMG-VMTM23017412, FMG-VMTM19008093
- Pliki: /tmp/.tm, /var/tmp/.tm
Monitorowanie tych wskaźników może pomóc w wykrywaniu prób nieautoryzowanego dostępu.
Fortinet zaleca także regularne tworzenie kopii zapasowych konfiguracji, które mogą być wykorzystane do odzyskiwania systemu w przypadku naruszenia.
Luka 3: OpenSSH regreSSHion Attack (CVE-2024-6387)
Luka w OpenSSH, znana jako CVE-2024-6387, umożliwia nieautoryzowanemu atakującemu na wykorzystanie procesu sshd i zdalne wykonanie dowolnego kodu (RCE). Wpływa ona na wiele produktów Fortinet, które korzystają z OpenSSH do zarządzania zdalnego.
Produkt | Podatne wersje | Zalecenie |
---|---|---|
FortiADC 7.4 | 7.4.0 do 7.4.4 | Aktualizacja do 7.4.5 lub wyższej |
FortiADC 7.2 | 7.2.0 do 7.2.6 | Aktualizacja do 7.2.7 lub wyższej |
FortiAIOps 2.1 | Nie dotyczy | Nie dotyczy |
FortiAIOps 2.0 | 2.0.0 do 2.0.1 | Aktualizacja do 2.0.2 lub wyższej |
FortiAnalyzer 7.6 | Nie dotyczy | Nie dotyczy |
FortiAnalyzer 7.4 | 7.4.0 do 7.4.3 | Aktualizacja do 7.4.4 lub wyższej |
FortiAnalyzer 7.2 | 7.2.0 do 7.2.5 | Aktualizacja do 7.2.6 lub wyższej |
FortiAnalyzer 7.0 | 7.0.0 do 7.0.12 | Aktualizacja do 7.0.13 lub wyższej |
FortiAnalyzer 6.4 | 6.4.0 do 6.4.14 | Aktualizacja do 6.4.15 lub wyższej |
FortiAnalyzer-BigData 7.4 | 7.4.0 | Aktualizacja do 7.4.1 lub wyższej |
FortiAuthenticator 6.6 | 6.6.0 do 6.6.1 | Aktualizacja do 6.6.2 lub wyższej |
FortiDDoS 5.7 | 5.7.0 do 5.7.3 | Aktualizacja do 5.7.4 lub wyższej |
FortiDDoS-F 7.0 | 7.0.0 do 7.0.1 | Aktualizacja do 7.0.2 lub wyższej |
FortiExtender 7.6 | Nie dotyczy | Nie dotyczy |
FortiExtender 7.4 | 7.4.0 do 7.4.5 | Aktualizacja do 7.4.6 lub wyższej |
FortiExtender 7.2 | 7.2.0 do 7.2.5 | Aktualizacja do 7.2.6 lub wyższej |
FortiExtender 7.0 | 7.0.0 do 7.0.5 | Aktualizacja do 7.0.6 lub wyższej |
FortiMail 7.6 | Nie dotyczy | Nie dotyczy |
FortiMail 7.4 | 7.4.0 do 7.4.2 | Aktualizacja do 7.4.3 lub wyższej |
FortiMail 7.2 | 7.2.0 do 7.2.6 | Aktualizacja do 7.2.7 lub wyższej |
FortiMail 7.0 | 7.0.0 do 7.0.7 | Aktualizacja do 7.0.8 lub wyższej |
FortiMail 6.4 | 6.4.0 do 6.4.8 | Aktualizacja do 6.4.9 lub wyższej |
FortiManager 7.6 | Nie dotyczy | Nie dotyczy |
FortiManager 7.4 | 7.4.0 do 7.4.3 | Aktualizacja do 7.4.4 lub wyższej |
FortiManager 7.2 | 7.2.0 do 7.2.5 | Aktualizacja do 7.2.6 lub wyższej |
FortiManager 7.0 | 7.0.0 do 7.0.12 | Aktualizacja do 7.0.13 lub wyższej |
FortiManager 6.4 | 6.4.0 do 6.4.14 | Aktualizacja do 6.4.15 lub wyższej |
FortiManager Cloud 7.4 | Nie dotyczy | Nie dotyczy |
FortiManager Cloud 7.2 | 7.2.3 do 7.2.4 | Aktualizacja do 7.2.7 lub wyższej |
FortiManager Cloud 7.2 | 7.2.1 | Aktualizacja do 7.2.7 lub wyższej |
FortiManager Cloud 7.0 | 7.0.12 | Aktualizacja do 7.0.13 lub wyższej |
FortiManager Cloud 7.0 | 7.0.10 | Aktualizacja do 7.0.13 lub wyższej |
FortiManager Cloud 7.0 | 7.0.6 do 7.0.7 | Aktualizacja do 7.0.13 lub wyższej |
FortiNDR 7.4 | 7.4.3 do 7.4.5 | Migracja do poprawionej wersji |
FortiNDR 7.2 | 7.2.2 do 7.2.3 | Aktualizacja do 7.2.4 lub wyższej |
FortiNDR 7.0 | 7.0.6 | Aktualizacja do 7.0.7 lub wyższej |
FortiRecorder 7.2 | 7.2.0 do 7.2.1 | Aktualizacja do 7.2.2 lub wyższej |
FortiRecorder 7.0 | 7.0.0 do 7.0.4 | Aktualizacja do 7.0.5 lub wyższej |
FortiRecorder 6.4 | 6.4.0 do 6.4.5 | Aktualizacja do 6.4.6 lub wyższej |
FortiRecorder 6.0 | 6.0.0 do 6.0.12 | Aktualizacja do 6.0.13 lub wyższej |
FortiSwitch 7.6 | Nie dotyczy | Nie dotyczy |
FortiSwitch 7.4 | 7.4.0 do 7.4.3 | Aktualizacja do 7.4.4 lub wyższej |
FortiSwitch 7.2 | 7.2.0 do 7.2.8 | Aktualizacja do 7.2.9 lub wyższej |
FortiVoice 7.2 | Nie dotyczy | Nie dotyczy |
FortiVoice 7.0 | 7.0.0 do 7.0.2 | Aktualizacja do 7.0.3 lub wyższej |
FortiVoice 6.4 | 6.4.0 do 6.4.9 | Aktualizacja do 6.4.10 lub wyższej |
FortiWeb 7.6 | 7.6.0 | Aktualizacja do 7.6.1 lub wyższej |
FortiWeb 7.4 | 7.4.0 do 7.4.4 | Aktualizacja do 7.4.5 lub wyższej |
FortiWeb 7.2 | 7.2.0 do 7.2.9 | Aktualizacja do 7.2.10 lub wyższej |
Dla produktów Fortinet wykorzystujących OpenSSH dostępne są także obejścia, takie jak ograniczenie dostępu SSH tylko do zaufanych sieci lub całkowite wyłączenie SSH, jeśli nie jest wymagane.
W przypadku tych trzech luk bezpieczeństwa, konieczne jest, aby administratorzy systemów Fortinet oraz innych podatnych produktów natychmiast wdrożyli dostępne aktualizacje lub zastosowali sugerowane obejścia. Regularne monitorowanie systemów, aktualizowanie wskaźników kompromitacji oraz stosowanie najlepszych praktyk bezpieczeństwa może zminimalizować ryzyko udanego ataku na infrastrukturę IT.