FortiManager API Güvenlik Açığı’na Genel Bakış
Yakın zamanda FortiManager’da (CVE-2024-47575) kritik bir API güvenlik açığı ortaya çıktı. Bazı tehdit aktörleri, yönetilen cihazlar tarafından kullanılan yapılandırmaları, IP adreslerini ve kimlik bilgilerini içeren hassas bilgileri çalmak için bu durumdan yararlandı. Fortinet, gelişmiş bildirim e-postalarında kullanıcılarını güvenlik açığı ve azaltma adımları konusunda uyardı.
Güvenlik açığının kritik önem derecesi 10 üzerinden 9,8’dir. Bu kusur, fgfmd arka plan programındaki eksik kimlik doğrulaması nedeniyle bir saldırganın rastgele kod veya komutlar yürütmesine olanak tanıyabilir.
FortiGate’den FortiManager’a Protokolü (FGFM), müşterilerin FortiGate güvenlik duvarı cihazlarını dağıtmasına ve bunları uzak bir FortiManager sunucusuna kaydetmesine olanak tanıyarak bu cihazların tek bir konumdan merkezi olarak yönetilmesine olanak tanır.
FGFM API’si, kimlik doğrulamanın atlanmasına karşı savunmasızdı ve kimliği doğrulanmamış saldırganların komutları yürütmesine, hassas bilgileri almasına ve ortamı tehlikeye atmasına olanak tanıyordu.
Mandiant, UNC5820 olarak takip edilen yeni bir tehdit kümesinin 27 Haziran 2024’ten itibaren bu güvenlik açığından yararlandığını gözlemledi. Tehdit aktörü, istismar edilen FortiManager tarafından yönetilen FortiGate cihazlarından yapılandırma verilerini çıkardı. Veriler, yönetilen cihazların yapılandırma ayarlarından, kullanıcılara ilişkin hassas bilgilerden ve FortiOS256 karma parolalarından oluşur.
Tehdit aktörünün bu güvenlik açığından yararlandığına dair hiçbir kanıt yok. Ayrıca tehdit aktörünün, elde edilen yapılandırma verilerini ortamın kontrolünü ele geçirmek için kullandığını kanıtlayacak hiçbir kanıt yoktur.
FortiManager API’sinde Güvenlik Açığı Detaylar
Mandiant tarafından bildirildiği üzere birden fazla FortiManager örneği, 45 numaralı IP adresinden gelen bağlantılar aldı.[.]32[.]41[.]TCP/541 bağlantı noktasında 202. Ayrıca dosya sistemi, çeşitli Fortinet yapılandırma dosyalarının aşamalarını /tmp/.tm adı verilen Gzip ile sıkıştırılmış bir arşive kaydetti.
Bu arşiv aşağıdaki içeriğe sahiptir:
| Dosya adı | Tanım |
| /var/dm/RCS | Yönetilen FortiGate cihazlarının konfigürasyon dosyalarını içeren klasör |
| /var/dm/RCS/revinfo.db | Yönetilen FortiGate cihazları hakkında ek bilgiler içeren veritabanı |
| /var/fds/data/devices.txt | FortiGate serilerinin ve bunlara karşılık gelen IP adreslerinin bir listesini içerir |
| /var/pm2/global.db | IPS için nesne yapılandırmalarını, politika paketlerini ve üst bilgi ve alt bilgi sensörü yapılandırmasını içeren küresel veritabanı |
| /var/old_fmversion | Mevcut FortiManager sürümünü, yapısını ve dal bilgilerini içerir |
23 Eylül 2024’te bir başka suiistimal girişimi daha yaşandı. Önceki girişimin aynısını izledi.
| Zaman damgası | Tanım | Boyut |
| 2024-06-27 12:44:04 | /tmp/.tm (Dosya oluşturma) | Bilinmiyor |
| 2024-06-27 12:44:11 | 195’e giden trafik[.]85[.]114[.]78:443 | 1.819.425 bayt |
| 2024-09-23 11:31:12 | /tmp/.tm (Dosya değişikliği) | 1.772.650 bayt |
| 2024-09-23 11:31:19 | 104’e giden trafik[.]238[.]141[.]143:443 | 1.822.968 bayt |
İkinci istismar girişiminde tehdit aktörünün cihazı hedeflenen FortiManager’a kaydedildi. Aşağıda tehdit aktörünün Global Nesneler Veritabanındaki FortiManager’ının bir listesi bulunmaktadır.
Başarılı bir istismarın ardından tehdit aktörünün Fortinet cihazı, Seri Numarası ve IP Adresiyle birlikte FortiManager konsolunda göründü.
Uzlaşma Göstergeleri
Günlük Girişleri
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"Önemli not: Yukarıdaki iki giriş, güncel, yamalı bir sistemde (örn. FMG 7.4.5) bile günlüğe kaydedilmeye devam edebilir – bu durumda bunlar artık Uzlaşma Göstergeleri değil, (başarısız) bir girişimin göstergeleridir. sistemi tehlikeye atmak. Aslında düzeltmenin amacı yetkisiz cihazların eklenmesini engellemek değildir (bu günlük girişleri bunun göstergesidir ve bir dağıtım bağlamında yasal olarak gerçekleşebilir); Yetkisiz cihazların yararlanma komutları göndermesini önlemek için tasarlanmıştır.
IP adresleri
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
195.85.114.78
Dosyalar
/tmp/.tm
/var/tmp/.tm
Diğer Göstergeler
FMG-VMTM23017412 – Kötü Amaçlı Cihaz Kimliği
[email protected] – Tehdit aktörünün kullandığı e-posta adresi
Purity Supreme – tmp dosyasında gözlemlendi
FortiManager API Güvenlik Açığı için Geçici Çözümler
Sorunu çözmek için sabit bir sürüme yükseltin veya FortiManager sürümünüze bağlı olarak aşağıdaki geçici çözümlerden birini kullanın:
1. FortiManager Sürümleri 7.0.12 veya Üzeri, 7.2.5 veya Üzeri, 7.4.3 veya Üzeri (7.6.0 hariç)
Bilinmeyen cihazların kaydolmaya çalışmasını önleyin:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
Uyarı: Bu ayar etkinleştirildiğinde FortiManager, seri numarası cihaz listesinde bulunmayan herhangi bir FortiGate’in, PSK’lı bir cihaz modeli eşleşse bile dağıtımdan sonra kayda bağlanmasını engelleyecektir.
FortiAnalyzer (FAZ) özellikleri FortiManager’da etkinleştirilmişse, yetkisiz cihazların sistem günlüğü aracılığıyla eklenmesini engelleyin:
conf system global
set detect-unregistered-log-device disable
end
FortiGate Güncellemeleri veya Web Filtreleme etkinse, yetkisiz cihazların FDS aracılığıyla eklenmesini engelleyin:
conf fmupdate fds-setting
set unreg-dev-option ignore
end
2. FortiManager Sürüm 7.2.0 ve Üzeri İçin
Yetkili FortiGates’in IP adreslerine izin vermek için yerel giriş politikalarını kullanın. Örneğin:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
3. 7.2.2 ve Üzeri, 7.4.0 ve Üzeri, 7.6.0 ve Üzeri Sürümler İçin
Sorunu azaltmak için özel bir sertifika kullanın:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
Kurtarma Yöntemleri
Seçenek 1 – Önerilen Kurtarma Eylemi
Bu yöntem, FortiManager yapılandırmasının kurcalanmamasını sağlar. Cihaz ve Politika Paketi ADOM düzeylerinde veritabanının yeniden oluşturulmasını veya cihaz yapılandırmasının yeniden senkronizasyonunu gerektirecektir.
- Yeni bir FortiManager VM kurmak veya bir donanım modelini yeniden başlatmak ve cihazları eklemek/keşfetmek.
- Yeni bir FortiManager VM kurmak veya bir donanım modelini yeniden başlatmak ve IoC tespitinden önce bir yedeği geri yüklemek.
Seçenek 2 – Alternatif Kurtarma Eylemi
Bu yöntem, kısmen veya hiç veritabanı yeniden oluşturmanın/yeniden eşitlemenin gerekli olmadığı durumlarda hızlı bir kurtarma sağlar. Şu anda çalışan FortiManager yapılandırmasının doğruluğunu manuel olarak doğrulamanızı gerektirir.
- Yeni bir FortiManager VM kurmak veya bir donanım modelini yeniden başlatmak ve güvenliği ihlal edilmiş bir FortiManager’dan bileşenleri veya konfigürasyon bölümlerini geri yüklemek/kopyalamak.
- Yeni bir FortiManager VM kurmak veya bir donanım modelini yeniden başlatmak ve güvenliği ihlal edilmiş bir FortiManager’dan bir yedeği geri yüklemek.
Veri yapılandırması ve senkronizasyon prosedürleri hakkında daha fazla bilgi için: https://community.fortinet.com/t5/FortiManager/Technical-Tip-FortiManager-data-configuration-and/ta-p/351748
| Sürüm | Etkilenen | Çözüm |
| Forti Yöneticisi 7.6 | 7.6.0 | 7.6.1 veya üstüne yükseltme |
| Forti Yöneticisi 7.4 | 7.4.0’dan 7.4.4’e | 7.4.5 veya üzeri sürüme yükseltme |
| Forti Yöneticisi 7.2 | 7.2.0’dan 7.2.7’ye | 7.2.8 veya üstüne yükseltme |
| Forti Yöneticisi 7.0 | 7.0.0’dan 7.0.12’ye | 7.0.13 veya üstüne yükseltme |
| Forti Yöneticisi 6.4 | 6.4.0 ila 6.4.14 | 6.4.15 veya üstüne yükseltme |
| Forti Yöneticisi 6.2 | 6.2.0 ila 6.2.12 | 6.2.13 veya üzeri bir sürüme yükseltme |
| FortiManager Bulut 7.6 | Etkilenmedi | Uygulanamaz |
| FortiManager Bulut 7.4 | 7.4.1 ila 7.4.4 | 7.4.5 veya üzeri sürüme yükseltme |
| FortiManager Bulut 7.2 | 7.2.1 ila 7.2.7 | 7.2.8 veya üstüne yükseltme |
| FortiManager Bulut 7.0 | 7.0.1’den 7.0.12’ye | 7.0.13 veya üstüne yükseltme |
| FortiManager Bulut 6.4 | 6.4 tüm sürümler | Sabit bir sürüme geçiş yapın |