Certified Security Operations Center GmbH

19. November 2024

Achtung – Aktive Ausnutzung einer Zero-Day Schwachstelle in Fortinet FortiManager

Der Fortinet FortiManager ist für viele das Herzstück einer modernen, zentralisierten Netzwerksicherheitsstrategie. Der FortinetManager macht es möglich alle Fortinet-Sicherheitsgeräte von Firewalls und VPNs bis zu Switches und Acces Points an einem einzigen Ort zu überwachen, steuern und zu verwalten.

Diese Plattform ist nicht nur ein reines Verwaltungswerkzeug – sie bietet eine intelligente und automatisierte Lösung, mit der Unternehmen ihre Sicherheitsrichtlinien über ein globales Netzwerk hinweg mühelos synchronisieren und aktualisieren können.

Insbesondere für Unternehmen mit mehreren Standorten oder einer komplexen Netzwerkinfrastruktur bringt FortiManager enorme Vorteile. Mit ihm lassen sich Änderungen und Sicherheitsrichtlinien einheitlich und zuverlässig implementieren – und das mit nur wenigen Klicks. Durch automatisierte Updates, zentrale Backups und umfangreiche Protokollierungsoptionen hilft, FortiManager nicht nur die Netzwerksicherheit zu verbessern, sondern auch den Verwaltungsaufwand deutlich zu reduzieren.

Doch selbst die stärksten Sicherheitslösungen bleiben nicht völlig unangreifbar. Kürzlich wurde eine kritische Schwachstelle entdeckt, die auch Fortinet betrifft und das Potenzial hat, die Sicherheit vieler Unternehmen zu gefährden. In der folgenden Analyse betrachten wir, welche Risiken diese Schwachstelle birgt, wie Unternehmen darauf reagieren sollten und welche Schritte Fortinet bereits eingeleitet hat, um die Sicherheit seiner Nutzer zu gewährleisten.

Die Schwachstelle:

Am 23. Oktober 2024 veröffentlichte Fortinet ein Advisory zur Zero-Day Schwachstelle (CVE-2024-47575) in FortiManager. Die Schwachstelle wird aktiv ausgenutzt und wurde im Common Vulnerability Scoring System (CVSS) mit 9,8 („kritisch“) eingestuft. Sie ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auszuführen, indem sie eine Schwachstelle im FGFM-Daemon von FortiManager ausnutzen. Dies kann zu einer Übernahme der Verwaltung und Steuerung aller angebundenen Geräte führen und den Angreifern umfassenden Zugriff auf sensible Netzwerke und Ressourcen gewähren.

Die Schwachstelle betrifft FortiManager in verschiedenen Versionen:

  • FortiManager bis Version 7.6.0 (FortiManager Cloud)
  • Versionen 6.2.12 und niedriger bis einschließlich Version 7.4.4 und 7.2.7
  • Diverse ältere Modelle des FortiAnalyzer mit aktiviertem FortiManager-Modul und FGFM-Dienst

Die aktuelle Version FortiManager Cloud 7.6 ist hingegen nicht betroffen.

Bedrohungslage und Auswirkungen:

Da Angreifer über diese Schwachstelle kritische Sicherheitsmechanismen umgehen können, wurden bereits mehrere Vorfälle dokumentiert, in denen unbefugte Zugriffe stattfanden. Fortinet bestätigte, dass die Angreifer automatisierte Angriffe durchführen, bei denen Dateien mit IP-Adressen, Zugangsdaten und Gerätekonfigurationen exfiltriert wurden. Es wurden jedoch bislang keine Hinweise auf die Installation von Malware oder versteckten Hintertüren auf kompromittierten Systemen festgestellt.

Mehrere unserer Kunden wurden bereits Ziel eines solchen Angriffs, konnten jedoch durch proaktive Maßnahmen und schnelle Reaktion vor weiteren Schäden geschützt werden. Unser Team reagierte direkt nach Bekanntwerden der Schwachstelle und implementierte eine Regel, die uns alarmiert, sobald Angriffsaktivitäten im Zusammenhang mit dieser Schwachstelle erkannt werden.

Um eine mögliche Kompromittierung frühzeitig zu erkennen, sollten IT-Sicherheitsverantwortliche folgende Indikatoren prüfen:

Log-Einträge:

  • type=event, subtype=dvm, pri=information, desc=“Device,manager,generic,information,log“, user=“device,…“, msg=“Unregistered device localhost add succeeded“ device=“localhost“ adom=“FortiManager“ session_id=0 operation=“Add device“ performed_on=“localhost“ changes=“Unregistered device localhost add succeeded“
  • type=event, subtype=dvm, pri=notice, desc=“Device,Manager,dvm,log,at,notice,level“, user=“System“, userfrom=““, msg=““ adom=“root“ session_id=0 operation=“Modify device“ performed_on=“localhost“ changes=“Edited device settings (SN FMG-VMTM23017412)“

Beobachtete IP-Adressen:

  • 45.32.41[.]202
  • 104.238.141[.]143
  • 158.247.199[.]37
  • 45.32.63[.]2
  • 195.85.114[.]78
  • 107.191.63[.]169
  • 139.180.138[.]190
  • 149.28.157[.]135
  • 167.179.90[.]211
  • 216.238.98[.]214
  • 65.20.78[.]114

Zusätzlich von vertrauenswürdigen Quellen gemeldet:

  • 80.66.196[.]199

Seriennummern:

  • FMG-VMTM2301741
  • FMG-VMTM19008093


Dateien:

  • /tmp/.tm
  • /var/tmp/.tm

Hinweis:

Nicht alle Angriffsversuche enthalten diese Dateien. Dennoch empfiehlt das BSI, die Indikatoren regelmäßig zu prüfen und gegebenenfalls das Wiederherstellungsverfahren bei Feststellung einer Kompromittierung anzuwenden.

Maßnahmen und Handlungsempfehlungen:

  • Software-Updates: Unternehmen sollten umgehend überprüfen, ob auf ihren Fortinet FortiManager-Instanzen die aktuellste, abgesicherte Version installiert ist. Fortinet hat bereits Patches veröffentlicht, die die Schwachstelle beheben.
  • Workaround bei fehlenden Patches: Falls das Update derzeit nicht möglich ist, sollten Administratoren den Angriffspfad vorübergehend schließen, indem sie beispielsweise die Funktion „fgfm-deny-unknown“ auf „enable“ setzen, um den Zugang auf autorisierte Geräte zu beschränken.
  • Eingeschränkter Zugriff: Der Zugriff auf FortiManager sollte auf vertrauenswürdige IP-Adressen beschränkt werden. Dies lässt sich über „Local-in Policies“ konfigurieren, wodurch nur bekannte IP-Adressen Zugriff auf den FGFM-Dienst (Port 541) erhalten.
  • Sicherheitsüberprüfung und Monitoring: Administratoren sollten die Log-Dateien auf Anzeichen von Angriffsaktivitäten prüfen und auf verdächtige Aktivitäten achten. Indikatoren wie ungewöhnliche Registrierungen oder Zugriffsversuche können auf eine Kompromittierung hindeuten. Eine Überprüfung von IP-Adressen, die bei vorherigen Angriffen dokumentiert wurden, kann ebenfalls wertvolle Hinweise liefern.
  • Verwaltungshärtung und Netzwerksegmentierung: Es wird empfohlen, die FortiManager-Instanz hinter einer Firewall zu betreiben und den FGFM-Dienst von nicht vertrauenswürdigen Netzwerken zu isolieren. Weitere Sicherheitsvorgaben für die Verwaltung und den Schutz kritischer Netzwerkschnittstellen finden sich im Fortinet-Sicherheitsleitfaden.

Durch diese Schritte können Unternehmen die potenziellen Auswirkungen eines Angriffs erheblich reduzieren und ihre Sicherheitsinfrastruktur langfristig stärken.

Reaktion Fortinet:

Fortinet hat nach der Entdeckung der Zero-Day-Schwachstelle schnell reagiert, um die Sicherheit seiner Nutzer bestmöglich zu gewährleisten. In ihrem Advisory hat das Unternehmen eine detaillierte Beschreibung der Schwachstelle veröffentlicht, einschließlich der betroffenen Produkte und potenziellen Risiken. Parallel dazu wurde ein Patch entwickelt und bereitgestellt, um die Sicherheitslücke zu schließen. Fortinet rät allen Kunden, die betroffenen Systeme umgehend zu aktualisieren, um die Gefahr eines Angriffs zu minimieren.

Darüber hinaus hat Fortinet präventive Maßnahmen und Workarounds für Kunden bereitgestellt, die aus technischen oder betrieblichen Gründen den Patch noch nicht sofort installieren können. Sie unterstützen Unternehmen aktiv bei der Implementierung dieser Maßnahmen, um das Risiko zwischenzeitlicher Angriffe zu reduzieren. Fortinet setzt damit ein klares Zeichen in puncto Sicherheitsbewusstsein und betont, wie wichtig ein schnelles und koordiniertes Vorgehen in Krisensituationen ist.

Fazit:

Der Vorfall um die Zero-Day-Schwachstelle in Fortinet-Produkten unterstreicht, dass selbst modernste Sicherheitslösungen vor neuen Bedrohungen nicht völlig sicher sind. Er zeigt deutlich, wie dynamisch das Bedrohungsumfeld in der heutigen digitalen Welt ist und wie wichtig es für Unternehmen ist, auf potenzielle Risiken vorbereitet zu sein. Für Unternehmen und IT-Teams bedeutet dies, dass regelmäßige Updates, die zügige Integration neuer Software und Sicherheitslösungen sowie ein proaktives Sicherheitsmanagement unverzichtbar sind. Der Vorfall ist ein wichtiger Weckruf, die eigenen Sicherheitsstrategien kontinuierlich zu überprüfen und anzupassen.

error: