Fortinet 终于公开了有关 CVE-2024-47575 的信息，这是一个关键的 FortiManager 漏洞，攻击者已将其作为零日漏洞加以利用。

关于 CVE-2024-47575

CVE-2024-47575 是由於 FortiManager 的 fgfmd daemon 中的一個關鍵功能缺少驗證而導致的漏洞。未经身份验证的远程攻击者可利用该漏洞，通过特制请求执行任意代码或命令。

该漏洞影响 FortiManager 和 FortiManager Cloud 的多个版本，以及一些较早的 FortiAnalyzer 型号。

“报告显示，该漏洞在野外已被利用，”Fortinet 的公告称。

Fortinet公告称：“已确定的野外攻击行动是通过脚本从FortiManager自动渗出各种文件，其中包含受管设备的IP、凭据和配置。在目前阶段，我们还没有收到在这些被入侵的 FortiManager 系统上安装任何低级恶意软件或后门程序的报告。据我们所知，没有迹象表明管理设备的数据库被修改，或被连接和修改。”

该公告建议升级到固定版本，概述了可能的解决方法，并提供了已知的入侵指标（IoCs）。

不完美的披露

大约十天前，Fortinet 与部分客户分享了该漏洞的详细信息和缓解建议。该非公开通知并不打算在接收者组织之外共享。

但该漏洞已经被人利用，而在网络安全圈内，消息传播得很快。受人尊敬的独立安全研究员凯文-博蒙特（Kevin Beaumont）并没有收到 Fortinet 的通知，他开始拼凑信息并在网上分享。

他总结道：“威胁者一直在利用（今年早些时候的）另一个CISA KEV漏洞进入FortiGate，然后利用这个漏洞进入管理FortiManager，再利用这个漏洞回到下游–即跳过分区网络。”

Rapid7 公司的漏洞研究主管凯特琳-康顿（Caitlin Condon）证实，他们的客户 “也报告说收到了服务提供商的通信，表明该漏洞可能已在他们的环境中被利用”。

Fortinet 告诉 Help Net Security，在发现该漏洞后，他们已及时向客户通报了重要信息和资源。

“这符合我们负责任的披露流程和最佳实践，使客户能够在向包括威胁行为者在内的更广泛受众公开发布建议之前加强其安全态势。我们敦促客户按照我们提供的指导实施变通方法和修复措施，并继续跟踪我们的公告页面以获取更新。我们将继续与适当的国际政府机构和行业威胁组织协调，作为我们持续应对措施的一部分。”

更新（美国东部时间 2024 年 10 月 24 日上午 11:00）：

Mandiant 的分析师周四分享道：“2024 年 10 月，Mandiant 与 Fortinet 合作调查了不同行业中 50 多台可能受到攻击的 FortiManager 设备被大规模利用的情况。”

他们说，一个新的威胁集群–被追踪为UNC5820–早在2024年6月27日就开始利用FortiManager漏洞。

“UNC5820利用FortiManager管理的FortiGate设备的配置数据。这些数据包含所管理设备的详细配置信息，以及用户和他们的 FortiOS256 加密密码。”

他们说，这些数据可用于进一步入侵FortiManager，横向移动到受管的Fortinet设备，并以企业环境为目标，但他们指出，他们没有发现威胁行为者实际使用这些数据来实现这一目标的证据。

报告中包含了已知的 IoC。