FortiManager访问控制错误漏洞CVE-2024-47575

Fortinet FortiManager是美国飞塔（Fortinet）公司推出的一套集中化网络安全管理平台，旨在简化加强Fortinet网络安全设备管理和监控。

该平台用于集中管理多Fortinet 设备（如FortiGate防火墙），支持将设备分组到不同管理域（ADOM）进一步简化多设备安全部署与管理。

一、基本情况

FortiManager提供统一管理，在各种复杂混合环境实现一致安全性，防御安全威胁，提供简化“单一管理平台”体验和无与伦比的网络洞察。

FortiManager控制台涵盖连接、资源利用率、设备设置、策略状态和警报，使用最佳实践模板加速零接触配置，支持大规模部署SD-WAN。

不仅简化Fortinet Security Fapic工作流程，并将管理功能扩展到整个基于FortiOS的生态（包括 FortiSwitch、FortiAP 和 FortiExtender）。

2024年10月24日，栋科技关注到监测到Fortinet发布安全公告，修复FortiManager一个身份验证不当漏洞，漏洞追踪为CVE-2024-47575。

二、漏洞分析

CVE-2024-47575源于缺少关键功能的身份验证，FortiManager存在访问控制错误漏洞，允许攻击者通过特制的请求执行任意代码或命令。

该Fortinet FortiManager访问控制错误漏洞被追踪为CNNVD-202410-2613，CVE-2024-47575，FortiManager 多个版本均受此漏洞影响。

CVE-2024-47575漏洞的CVSS 评分为9.8，目前已有证据表明该漏洞已被在野利用，以窃取包含受管设备配置、IP地址和凭据的敏感文件。

FortiManager fgfmd守护进程缺少关键功能身份验证，未经身份验证远程攻击者利用有效FortiGate证书在FortiManager中注册未授权设备。

然后利用CVE-2024-47575漏洞在FortiManager远程执行任意命令或代码，成功利用可导致敏感信息泄露或完全控制托管设备和其他危害。

Fortinet解释称fgfmd守护程序缺少关键功能漏洞 [CWE-306] 身份验证，允许未经身份验证远程攻击者通过特制请求执行任意代码或命令。

目前Fortinet官方已发布升级补丁修复了该漏洞，建议受影响用户做好资产自查以及预防工作，及时确认产品版本，以避免遭受黑客攻击。

三、漏洞影响

7.6.0 <= FortiManager 7.6.* <= 7.6.0

7.4.0 <= FortiManager 7.4.* <= 7.4.4

7.2.0 <= FortiManager 7.2.* <= 7.2.7

7.0.0 <= FortiManager 7.0.* <= 7.0.12

6.4.0 <= FortiManager 6.4.* <= 6.4.14

6.2.0 <= FortiManager 6.2.* <= 6.2.12

7.4.1 <= FortiManager Cloud 7.4.* <= 7.4.4

7.2.1 <= FortiManager Cloud 7.2.* <= 7.2.7

7.0.1 <= FortiManager Cloud 7.0.* <=  7.0.12

FortiManager Cloud 6.4.*

四、修复建议（仅供参考，以官方通告为准）

1、目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施，升级至最新版本：

FortiManager 7.6.* >= 7.6.1

FortiManager 7.4.* >= 7.4.5

FortiManager 7.2.* >= 7.2.8

FortiManager 7.0.* >= 7.0.13

FortiManager 6.4.* >= 6.4.15

FortiManager 6.2.* >= 6.2.13

FortiManager Cloud 7.4.* >= 7.4.5

FortiManager Cloud 7.2.* >= 7.2.8

FortiManager Cloud 7.0.* >=  7.0.13

FortiManager Cloud 6.4.*  迁移至固定版本

2、除升级最新版本，Fortinet为无法立即升级用户提供多种解决方法：启用fgfm-deny-unknown设置防止未知设备尝试FortiManager注册。

阻止未知设备尝试注册命令：

config system global
(global)# set fgfm-deny-unknown enable
(global)# end

特别提醒启用此设置后如果FortiGate的SN不在设备列表中，FortiManager将在部署时阻止其连接到注册，即使具有PSK的型号设备匹配，

对于7.2.0及以上的版本，用户还可应用本地输入策略，将允许连接到 FortiManager的特定IP地址列入白名单，从而提供额外的安全保护。

3、对于7.2.2 及以上版本、7.4.0 及以上版本、7.6.0 及以上版本，也可以使用自定义证书来缓解该漏洞：

config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end

并且在 FortiGates 上安装该证书。只有此CA 才有效，这可以作为一种缓解方法，前提是攻击者无法通过其他渠道获取此 CA 签名的证书。

4、Fortinet 官方提供一份可能的入侵指标列表，其中包括日志条目和与恶意活动相关的特定IP地址，需特别需要注意的IP地址包括如下：

45[.]32[.]41[.]202

104[.]238[.]141[.]143

158[.]247[.]199[.]37

45[.]32[.]63[.]2

5、对于已经遭到入侵的组织，Fortinet给出了两种恢复方法：

（1）建议恢复操作：安装新的FortiManager虚拟机或重新初始化硬件型号，添加或发现设备或恢复在检测到感染指标（IoC）之前的备份。

（2）替代恢复操作：手动验证当前 FortiManager 配置的准确性，然后从受感染 FortiManager 中恢复组件，在需要的时候可重建数据库。

五、参考链接

https://fortiguard.fortinet.com/psirt/FG-IR-24-423