fbpx

Luki bezpieczeństwa w produktach Fortinet oraz OpenSSH – co należy zrobić?

W ostatnich miesiącach odkryto trzy poważne luki bezpieczeństwa dotyczące produktów Fortinet oraz OpenSSH, które mogą pozwolić na zdalne wykonanie kodu przez atakujących. Każda z tych luk posiada unikalne wektory ataku, które mogą być wykorzystane do uzyskania nieautoryzowanego dostępu do systemów. Niniejszy artykuł opisuje zagrożenia i zawiera szczegółowe informacje na temat zaleceń dotyczących aktualizacji oraz możliwych obejść. Poniżej znajdują się szczegółowe informacje o każdej luce oraz kroki, które należy podjąć, aby zabezpieczyć systemy. 

Spis treści:

Luki podatności Fortinet

Luka 1: FortiOS – Zdalne wykonanie kodu (CWE-134)

Fortinet poinformował o luce bezpieczeństwa w FortiOS dotyczącą sposobu, w jaki proces fgfmd obsługuje niektóre zewnętrzne żądania. Błąd ten umożliwia zdalne wykonanie dowolnego kodu lub komend, co może dać atakującym pełną kontrolę nad systemem.

Jakie produkty i ich wersje są podatne?

ProduktPodatne wersjeZalecenie
FortiOS 7.47.4.0 do 7.4.2Aktualizacja do 7.4.3 lub wyższej
FortiOS 7.27.2.0 do 7.2.6Aktualizacja do 7.2.7 lub wyższej
FortiOS 7.07.0.0 do 7.0.13Aktualizacja do 7.0.14 lub wyższej
FortiPAM 1.3Nie dotyczyNie dotyczy
FortiPAM 1.21.2 wszystkie wersjeMigracja do poprawionej wersji
FortiPAM 1.11.1 wszystkie wersjeMigracja do poprawionej wersji
FortiPAM 1.01.0 wszystkie wersjeMigracja do poprawionej wersji
FortiProxy 7.47.4.0 do 7.4.2Aktualizacja do 7.4.3 lub wyższej
FortiProxy 7.27.2.0 do 7.2.8Aktualizacja do 7.2.9 lub wyższej
FortiProxy 7.07.0.0 do 7.0.15Aktualizacja do 7.0.16 lub wyższej
FortiSwitchManager 7.27.2.0 do 7.2.3Aktualizacja do 7.2.4 lub wyższej
FortiSwitchManager 7.07.0.0 do 7.0.3Aktualizacja do 7.0.4 lub wyższej

 

Aby ograniczyć ryzyko związane z luką w FortiOS (CWE-134), można wprowadzić tymczasowe obejście polegające na usunięciu dostępu administracyjnego FMG – access (fgfm). W ten sposób blokuje się możliwość zdalnego połączenia wykorzystując fgfm i zmniejszając ryzyko wykorzystania luki.

Skopiuj poniższy kod w całości:

				
					config system interface
edit "portX"                # Zastąp "portX" nazwą swojego interfejsu
set allowaccess ping https ssh
next
end

				
			

Powyższa konfiguracja usunie dostęp administracyjny fgfm z listy dozwolonych usług na wybranym interfejsie, pozostawiając tylko ping, https, i ssh.

To obejście zablokuje wykrywanie urządzenia przez FortiManager, ale nadal pozwoli na połączenia z FortiGate. Dodatkowe zabezpieczenie można osiągnąć poprzez skonfigurowanie polityki local-in, która pozwoli na połączenia fgfm tylko z określonych, zaufanych adresów IP.

Luka 2: FortiManager – Brak uwierzytelnienia dla kluczowej funkcji (CWE-306)

Fortinet zidentyfikował lukę bezpieczeństwa w FortiManager dotyczącą braku uwierzytelnienia dla kluczowej funkcji, co umożliwia zdalne wykonanie dowolnych komend przez nieautoryzowane urządzenia. Luka ta dotyczy również starszych modeli FortiAnalyzer (m.in. 1000E, 2000E, 3000E), jeśli jest w nich włączona funkcja FortiManager oraz dostęp administracyjny fgfm. Zaleca się pilne aktualizacje dla dotkniętych wersji.

 

ProduktPodatne wersjeZalecenie
FortiManager 7.67.6.0Aktualizacja do 7.6.1 lub wyższej
FortiManager 7.47.4.0 do 7.4.4Aktualizacja do 7.4.5 lub wyższej
FortiManager 7.27.2.0 do 7.2.7Aktualizacja do 7.2.8 lub wyższej
FortiManager 7.07.0.0 do 7.0.12Aktualizacja do 7.0.13 lub wyższej
FortiManager 6.46.4.0 do 6.4.14Aktualizacja do 6.4.15 lub wyższej
FortiManager 6.26.2.0 do 6.2.12Aktualizacja do 6.2.13 lub wyższej
FortiManager Cloud 7.6Nie dotyczyNie dotyczy
FortiManager Cloud 7.47.4.1 do 7.4.4Aktualizacja do 7.4.5 lub wyższej
FortiManager Cloud 7.27.2.1 do 7.2.7Aktualizacja do 7.2.8 lub wyższej
FortiManager Cloud 7.07.0.1 do 7.0.12Aktualizacja do 7.0.13 lub wyższej
FortiManager Cloud 6.46.4 wszystkie wersjeMigracja do poprawionej wersji

Rozwiązania tymczasowe (Workarounds)

Jeśli aktualizacja jest niemożliwa, poniżej przedstawiono możliwe obejścia:

Blokowanie nieautoryzowanych urządzeń: Dla wersji FortiManager 7.0.12, 7.2.5, 7.4.3 i nowszych (poza 7.6.0), należy wyłączyć możliwość rejestracji nieznanych urządzeń:

				
					config system global
set fgfm-deny-unknown enable
end

				
			

Uwaga: Jest to zalecane tylko dla FortiManager Cloud.

Jeśli na FortiManager są włączone funkcję związane z FortiAnalyzer można zablokować możliwość dodawania urządzeń, które nie zostały wcześniej autoryzowane (syslog oraz FDS): 

				
					# Blokowanie przez logi
config system global
set detect-unregistered-log-device disable
end

# Blokowanie przez FDS
config fmupdate fds-setting
set unreg-dev-option ignore
end

				
			

Stosowanie polityki local-in: Dla FortiManager wersji 7.2.0 i nowszych można ustawić politykę local-in, aby dopuścić połączenia tylko z zaufanych adresów IP:

				
					config system local-in-policy
edit 1
set action accept
set dport 541
set src <Zaufany_adres_IP>
next
edit 2
set dport 541
next
end

				
			

Certyfikaty jako zabezpieczenie: W wersjach 7.2.2, 7.4.0 i 7.6.0 i wyższych można użyć certyfikatów, aby ograniczyć dostęp do urządzeń, które posiadają właściwy certyfikat:

				
					config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end


				
			

Certyfikat ten należy zainstalować na FortiGate, aby tylko urządzenia z ważnym certyfikatem miały dostęp.

 

Wskaźniki Kompromitacji (IoC)

Aby monitorować ewentualne próby ataku, można sprawdzać logi zdarzeń w poszukiwaniu wpisów sugerujących nieautoryzowane dodawanie urządzeń lub modyfikację ustawień. Istnieją także konkretne adresy IP i numery seryjne, które mogą wskazywać na próby naruszenia bezpieczeństwa:

  • Adresy IP: np. 45.32.41.202, 158.247.199.37, 195.85.114.78
  • Numery seryjne: np. FMG-VMTM23017412, FMG-VMTM19008093
  • Pliki: /tmp/.tm, /var/tmp/.tm

Monitorowanie tych wskaźników może pomóc w wykrywaniu prób nieautoryzowanego dostępu.

Fortinet zaleca także regularne tworzenie kopii zapasowych konfiguracji, które mogą być wykorzystane do odzyskiwania systemu w przypadku naruszenia.

Jak zbadać podatność infrastruktury IT na ataki? Przeczytaj artykuł i zobacz video!

Luka 3: OpenSSH regreSSHion Attack (CVE-2024-6387)

Luka w OpenSSH, znana jako CVE-2024-6387, umożliwia nieautoryzowanemu atakującemu na wykorzystanie procesu sshd i zdalne wykonanie dowolnego kodu (RCE). Wpływa ona na wiele produktów Fortinet, które korzystają z OpenSSH do zarządzania zdalnego.

ProduktPodatne wersjeZalecenie
FortiADC 7.47.4.0 do 7.4.4Aktualizacja do 7.4.5 lub wyższej
FortiADC 7.27.2.0 do 7.2.6Aktualizacja do 7.2.7 lub wyższej
FortiAIOps 2.1Nie dotyczyNie dotyczy
FortiAIOps 2.02.0.0 do 2.0.1Aktualizacja do 2.0.2 lub wyższej
FortiAnalyzer 7.6Nie dotyczyNie dotyczy
FortiAnalyzer 7.47.4.0 do 7.4.3Aktualizacja do 7.4.4 lub wyższej
FortiAnalyzer 7.27.2.0 do 7.2.5Aktualizacja do 7.2.6 lub wyższej
FortiAnalyzer 7.07.0.0 do 7.0.12Aktualizacja do 7.0.13 lub wyższej
FortiAnalyzer 6.46.4.0 do 6.4.14Aktualizacja do 6.4.15 lub wyższej
FortiAnalyzer-BigData 7.47.4.0Aktualizacja do 7.4.1 lub wyższej
FortiAuthenticator 6.66.6.0 do 6.6.1Aktualizacja do 6.6.2 lub wyższej
FortiDDoS 5.75.7.0 do 5.7.3Aktualizacja do 5.7.4 lub wyższej
FortiDDoS-F 7.07.0.0 do 7.0.1Aktualizacja do 7.0.2 lub wyższej
FortiExtender 7.6Nie dotyczyNie dotyczy
FortiExtender 7.47.4.0 do 7.4.5Aktualizacja do 7.4.6 lub wyższej
FortiExtender 7.27.2.0 do 7.2.5Aktualizacja do 7.2.6 lub wyższej
FortiExtender 7.07.0.0 do 7.0.5Aktualizacja do 7.0.6 lub wyższej
FortiMail 7.6Nie dotyczyNie dotyczy
FortiMail 7.47.4.0 do 7.4.2Aktualizacja do 7.4.3 lub wyższej
FortiMail 7.27.2.0 do 7.2.6Aktualizacja do 7.2.7 lub wyższej
FortiMail 7.07.0.0 do 7.0.7Aktualizacja do 7.0.8 lub wyższej
FortiMail 6.46.4.0 do 6.4.8Aktualizacja do 6.4.9 lub wyższej
FortiManager 7.6Nie dotyczyNie dotyczy
FortiManager 7.47.4.0 do 7.4.3Aktualizacja do 7.4.4 lub wyższej
FortiManager 7.27.2.0 do 7.2.5Aktualizacja do 7.2.6 lub wyższej
FortiManager 7.07.0.0 do 7.0.12Aktualizacja do 7.0.13 lub wyższej
FortiManager 6.46.4.0 do 6.4.14Aktualizacja do 6.4.15 lub wyższej
FortiManager Cloud 7.4Nie dotyczyNie dotyczy
FortiManager Cloud 7.27.2.3 do 7.2.4Aktualizacja do 7.2.7 lub wyższej
FortiManager Cloud 7.27.2.1Aktualizacja do 7.2.7 lub wyższej
FortiManager Cloud 7.07.0.12Aktualizacja do 7.0.13 lub wyższej
FortiManager Cloud 7.07.0.10Aktualizacja do 7.0.13 lub wyższej
FortiManager Cloud 7.07.0.6 do 7.0.7Aktualizacja do 7.0.13 lub wyższej
FortiNDR 7.47.4.3 do 7.4.5Migracja do poprawionej wersji
FortiNDR 7.27.2.2 do 7.2.3Aktualizacja do 7.2.4 lub wyższej
FortiNDR 7.07.0.6Aktualizacja do 7.0.7 lub wyższej
FortiRecorder 7.27.2.0 do 7.2.1Aktualizacja do 7.2.2 lub wyższej
FortiRecorder 7.07.0.0 do 7.0.4Aktualizacja do 7.0.5 lub wyższej
FortiRecorder 6.46.4.0 do 6.4.5Aktualizacja do 6.4.6 lub wyższej
FortiRecorder 6.06.0.0 do 6.0.12Aktualizacja do 6.0.13 lub wyższej
FortiSwitch 7.6Nie dotyczyNie dotyczy
FortiSwitch 7.47.4.0 do 7.4.3Aktualizacja do 7.4.4 lub wyższej
FortiSwitch 7.27.2.0 do 7.2.8Aktualizacja do 7.2.9 lub wyższej
FortiVoice 7.2Nie dotyczyNie dotyczy
FortiVoice 7.07.0.0 do 7.0.2Aktualizacja do 7.0.3 lub wyższej
FortiVoice 6.46.4.0 do 6.4.9Aktualizacja do 6.4.10 lub wyższej
FortiWeb 7.67.6.0Aktualizacja do 7.6.1 lub wyższej
FortiWeb 7.47.4.0 do 7.4.4Aktualizacja do 7.4.5 lub wyższej
FortiWeb 7.27.2.0 do 7.2.9Aktualizacja do 7.2.10 lub wyższej

Dla produktów Fortinet wykorzystujących OpenSSH dostępne są także obejścia, takie jak ograniczenie dostępu SSH tylko do zaufanych sieci lub całkowite wyłączenie SSH, jeśli nie jest wymagane.

W przypadku tych trzech luk bezpieczeństwa, konieczne jest, aby administratorzy systemów Fortinet oraz innych podatnych produktów natychmiast wdrożyli dostępne aktualizacje lub zastosowali sugerowane obejścia. Regularne monitorowanie systemów, aktualizowanie wskaźników kompromitacji oraz stosowanie najlepszych praktyk bezpieczeństwa może zminimalizować ryzyko udanego ataku na infrastrukturę IT.

Masz wyzwanie lub pytanie dotyczące produktów Fortinet?

Wydarzenia:

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz: