Sfruttamento attivo della vulnerabilità CVE-2024-47575 in FortiManager

La vulnerabilità CVE-2024-47575, nota come "FortiJump", interessa il daemon fgfmsd di FortiManager e FortiAnalyzer. Con un punteggio CVSS di 9.8, consente a un attaccante remoto non autenticato di eseguire codice arbitrario tramite richieste appositamente create.

Gli attacchi, attivi almeno dal giugno 2024, mirano all'esfiltrazione di dati sensibili come IP, credenziali e configurazioni.

Si raccomanda l'aggiornamento immediato alle versioni patchate e il monitoraggio dei sistemi per rilevare indicatori di compromissione.

Dettagli della vulnerabilità

• Tipologia: Missing Authentication for Critical Function (CWE-306).

• Impatto: Esecuzione remota di codice (RCE) senza autenticazione.

• Piattaforme colpite:

  • FortiManager (versioni 6.x e 7.x).

  • FortiAnalyzer con funzionalità FortiManager attiva.

  • FortiManager Cloud.

• Obiettivo degli attacchi: Esfiltrazione automatizzata di file contenenti IP, credenziali e configurazioni dei dispositivi gestiti.

Modalità di sfruttamento

Gli attacchi sfruttano la mancanza di autenticazione nel protocollo FGFM (FortiGate to FortiManager), inviando richieste manipolate per eseguire codice arbitrario o accedere ai dati sensibili. In alcuni casi, gli attaccanti utilizzano certificati validi prelevati da dispositivi compromessi.

Fonti: ACN, FortiGuard Labs