Fortinet製品に関するお知らせ
24.10.24
CVE-2024-47575の影響について
- FortiManager
【CVE番号】
CVE-2024-47575
【重要度】
Critical
【対象機器/バージョン】
FortiManager
ver 7.6.0
ver.7.4.0 ~ 7.4.4
ver.7.2.0 ~ 7.2.7
ver.7.0.0 ~ 7.0.12
ver.6.4.0 ~ 6.4.14
ver.6.2.0 ~ 6.2.12
FortiManager Cloud
ver.7.4.0 ~ 7.4.1
ver.7.2.1 ~ 7.2.7
ver.7.0.1 ~ 7.0.12
ver.6.4 全てのバージョン
ver.7.6.0については本脆弱性の影響を受けません。
FortiAnalyzer
FortiManager機能が有効になっているFortiAnalyzerの以下のモデル
1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F
3700G、3900E
例)
config system global
set fmg-status enable
end
インターフェースでfgfm サービスが有効になっている場合もこの脆弱性の影響を受けます。
インターフェースの設定もご確認ください。
例)
config system interface
edit "port1"
set ip [IPアドレス] [サブネット]
set allowaccess ping https ssh fgfm ←fgfmが有効です。
set type physical
next
end
【影響】
FortiManager fgfmd デーモンの重大な機能脆弱性に対する認証の欠如により、
認証されていないリモート攻撃者が特別に細工されたリクエストを介して任意の
コードまたはコマンドを実行できる可能性があります。
【対策】
以下のバージョンにアップグレードを実施してください。
FortiManager
ver.7.6.1 以上
ver.7.4.5 以上
ver.7.2.8 以上
ver.7.0.13 以上
ver.6.4.15 以上
FortiManager Cloud
ver.7.4.5 以上
ver.7.2.8 以上
ver.7.0.13 以上
■ワークアラウンド
1.FortiManager ver.7.0.12 以上、7.2.5 以上、7.4.3 以上 (7.6.0 は除く) の場合、不明なデバイスが
登録を試行しないようにします。
config system global
set fgfm-deny-unknown enable
end
この設定を有効にすると、FortiGateのシリアルがデバイス リストにない場合、PSKを持つモデル デバイスが
一致している場合でも、FortiManager は展開時に登録するための接続を阻止することに注意してください。
2.FortiManager ver.7.2.0以降では、接続が許可されているFortiGateのIPアドレスをホワイトリストに
登録するローカルインポリシーを追加することで、緩和策が可能です。
config system local-in-policy
edit 1
set action accept
set dport 541
set src [ネットワークアドレスまたはFortiGateのIPアドレス]
next
edit 2
set action deny
set dport 541
next
end
3.ver.7.2.2 以上、ver7.4.0 以上、ver.7.6.0 以上では、問題を軽減するカスタム証明書を使用することも
できます。
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
End
そして、この証明書を FortiGate にインストールします。この CA証明書のみが有効になります。
これは、攻撃者が代替チャネル経由でこの CA によって署名された証明書を取得できない場合に回避策として
機能します。
注意: FortiManager ver.6.2、ver.6.4、および ver.7.0.11 以下の場合は、直接ワークアラウンドの設定が
できません。
上記のいずれかのバージョンにアップグレードし、上記の回避策を適用してください。
【侵害の兆候】
考えられる IoC は次のとおりです。
■ログ例
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",
user="device,...",msg="Unregistered device localhost add succeeded" device="localhost"
adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost"
changes="Unregistered device localhost add succeeded"
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",
user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device"
performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
■IPアドレス
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
■ファイル
/tmp/.tm
/var/tmp/.tm
■リスク
この攻撃で実際に確認されたアクションは、スクリプトを使用して、管理対象デバイスの IP、認証情報、
構成を含むさまざまなファイルを FortiManager から自動的に抽出することでした。
現時点では、これらの侵害された FortiManager システムにマルウェアやバックドアが低レベルのシステム
インストールされたという報告は受けていません。
Fortinet社が知る限り、データベースの変更や管理対象デバイスへの接続や変更の兆候は見られません。
【侵害のリカバリについて】
FortiManager 構成バックアップ ファイルには、OS またはシステムレベルのファイルの変更は含まれません。
これらのファイルはアーカイブに含まれていないためです。
したがって、侵害されたシステムからバックアップを取り、それを新しいシステムまたは再初期化された
システムに復元しても、そのような低レベルの変更が引き継がれて再び導入されることはありません。
この方法を採用する場合は、データが改ざんされている可能性があることに注意してください。
構成の正確性を確認するには、慎重に確認する必要があります。
以下の方法は、バックアップに含まれる管理対象デバイス (FortiGate など) が改ざんされておらず、その構成が
信頼できることを前提としています。
FortiGate のイベント ログ アクティビティの検証は、特定された IoC の日付から確認して、不正アクセスや
構成変更があったかどうかを判断する必要があります。
FortiManagerデータベースからデータが流出している可能性があるため、すべての管理対象デバイスの
パスワードやユーザーの機密データなどの認証情報を緊急に変更することをお勧めします。
FortiManager-VM版インストールの場合、侵害された FortiManager のコピーをインターネットに接続されて
いない隔離されたネットワークに保存し、オフラインモードとクローズドネットワークモード
操作 (以下の設定を参照) で構成することで、回復が容易になります。
このシステムは、並行してセットアップされる新しいシステムと比較するために使用できます。
config system admin setting
set offline_mode enable
end
config fmupdate publicnetwork
set status disabled
end
【リカバリ方法】
オプション 1 - 推奨される回復アクション
この方法では、FortiManager 構成が改ざんされていないことが保証されます。デバイスおよびポリシー
パッケージADOMレベルでデータベースの再構築またはデバイス構成の再同期が必要になります。
・新しい FortiManager-VM をインストールするか、ハードウェア モデルを再初期化し、デバイスを追加/検出
します。
・新しい FortiManager-VM をインストールするか、ハードウェア モデルを再初期化し、IoC 検出前に取得した
バックアップを復元します。
オプション 2 - 代替回復アクション
この方法ではデータベースの再構築/再同期が部分的に必要な場合、またはまったく必要ない場合に迅速に
回復できます。
現在実行中の FortiManager 構成の正確さを手動で確認する必要があります。
・新しいFortiManager-VMをインストールするか、ハードウェアモデルを再初期化し、侵害された
FortiManagerからコンポーネントまたは構成セクションを復元/コピーします。
・新しいFortiManager-VMをインストールするか、ハードウェアモデルを再初期化し、侵害された
FortiManagerからバックアップを復元します。
データ構成と同期手順の詳細については、以下を参照してください。
https://community.fortinet.com/t5/FortiManager/Technical-Tip-FortiManager-data-configuration-and/ta-p/351748
本内容は2024年10月24日9;00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
CVE-2024-47575
【重要度】
Critical
【対象機器/バージョン】
FortiManager
ver 7.6.0
ver.7.4.0 ~ 7.4.4
ver.7.2.0 ~ 7.2.7
ver.7.0.0 ~ 7.0.12
ver.6.4.0 ~ 6.4.14
ver.6.2.0 ~ 6.2.12
FortiManager Cloud
ver.7.4.0 ~ 7.4.1
ver.7.2.1 ~ 7.2.7
ver.7.0.1 ~ 7.0.12
ver.6.4 全てのバージョン
ver.7.6.0については本脆弱性の影響を受けません。
FortiAnalyzer
FortiManager機能が有効になっているFortiAnalyzerの以下のモデル
1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F
3700G、3900E
例)
config system global
set fmg-status enable
end
インターフェースでfgfm サービスが有効になっている場合もこの脆弱性の影響を受けます。
インターフェースの設定もご確認ください。
例)
config system interface
edit "port1"
set ip [IPアドレス] [サブネット]
set allowaccess ping https ssh fgfm ←fgfmが有効です。
set type physical
next
end
【影響】
FortiManager fgfmd デーモンの重大な機能脆弱性に対する認証の欠如により、
認証されていないリモート攻撃者が特別に細工されたリクエストを介して任意の
コードまたはコマンドを実行できる可能性があります。
【対策】
以下のバージョンにアップグレードを実施してください。
FortiManager
ver.7.6.1 以上
ver.7.4.5 以上
ver.7.2.8 以上
ver.7.0.13 以上
ver.6.4.15 以上
FortiManager Cloud
ver.7.4.5 以上
ver.7.2.8 以上
ver.7.0.13 以上
■ワークアラウンド
1.FortiManager ver.7.0.12 以上、7.2.5 以上、7.4.3 以上 (7.6.0 は除く) の場合、不明なデバイスが
登録を試行しないようにします。
config system global
set fgfm-deny-unknown enable
end
この設定を有効にすると、FortiGateのシリアルがデバイス リストにない場合、PSKを持つモデル デバイスが
一致している場合でも、FortiManager は展開時に登録するための接続を阻止することに注意してください。
2.FortiManager ver.7.2.0以降では、接続が許可されているFortiGateのIPアドレスをホワイトリストに
登録するローカルインポリシーを追加することで、緩和策が可能です。
config system local-in-policy
edit 1
set action accept
set dport 541
set src [ネットワークアドレスまたはFortiGateのIPアドレス]
next
edit 2
set action deny
set dport 541
next
end
3.ver.7.2.2 以上、ver7.4.0 以上、ver.7.6.0 以上では、問題を軽減するカスタム証明書を使用することも
できます。
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
End
そして、この証明書を FortiGate にインストールします。この CA証明書のみが有効になります。
これは、攻撃者が代替チャネル経由でこの CA によって署名された証明書を取得できない場合に回避策として
機能します。
注意: FortiManager ver.6.2、ver.6.4、および ver.7.0.11 以下の場合は、直接ワークアラウンドの設定が
できません。
上記のいずれかのバージョンにアップグレードし、上記の回避策を適用してください。
【侵害の兆候】
考えられる IoC は次のとおりです。
■ログ例
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",
user="device,...",msg="Unregistered device localhost add succeeded" device="localhost"
adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost"
changes="Unregistered device localhost add succeeded"
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",
user="System",userfrom="",msg="" adom="root" session_id=0 operation="Modify device"
performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
■IPアドレス
45.32.41.202
104.238.141.143
158.247.199.37
45.32.63.2
■ファイル
/tmp/.tm
/var/tmp/.tm
■リスク
この攻撃で実際に確認されたアクションは、スクリプトを使用して、管理対象デバイスの IP、認証情報、
構成を含むさまざまなファイルを FortiManager から自動的に抽出することでした。
現時点では、これらの侵害された FortiManager システムにマルウェアやバックドアが低レベルのシステム
インストールされたという報告は受けていません。
Fortinet社が知る限り、データベースの変更や管理対象デバイスへの接続や変更の兆候は見られません。
【侵害のリカバリについて】
FortiManager 構成バックアップ ファイルには、OS またはシステムレベルのファイルの変更は含まれません。
これらのファイルはアーカイブに含まれていないためです。
したがって、侵害されたシステムからバックアップを取り、それを新しいシステムまたは再初期化された
システムに復元しても、そのような低レベルの変更が引き継がれて再び導入されることはありません。
この方法を採用する場合は、データが改ざんされている可能性があることに注意してください。
構成の正確性を確認するには、慎重に確認する必要があります。
以下の方法は、バックアップに含まれる管理対象デバイス (FortiGate など) が改ざんされておらず、その構成が
信頼できることを前提としています。
FortiGate のイベント ログ アクティビティの検証は、特定された IoC の日付から確認して、不正アクセスや
構成変更があったかどうかを判断する必要があります。
FortiManagerデータベースからデータが流出している可能性があるため、すべての管理対象デバイスの
パスワードやユーザーの機密データなどの認証情報を緊急に変更することをお勧めします。
FortiManager-VM版インストールの場合、侵害された FortiManager のコピーをインターネットに接続されて
いない隔離されたネットワークに保存し、オフラインモードとクローズドネットワークモード
操作 (以下の設定を参照) で構成することで、回復が容易になります。
このシステムは、並行してセットアップされる新しいシステムと比較するために使用できます。
config system admin setting
set offline_mode enable
end
config fmupdate publicnetwork
set status disabled
end
【リカバリ方法】
オプション 1 - 推奨される回復アクション
この方法では、FortiManager 構成が改ざんされていないことが保証されます。デバイスおよびポリシー
パッケージADOMレベルでデータベースの再構築またはデバイス構成の再同期が必要になります。
・新しい FortiManager-VM をインストールするか、ハードウェア モデルを再初期化し、デバイスを追加/検出
します。
・新しい FortiManager-VM をインストールするか、ハードウェア モデルを再初期化し、IoC 検出前に取得した
バックアップを復元します。
オプション 2 - 代替回復アクション
この方法ではデータベースの再構築/再同期が部分的に必要な場合、またはまったく必要ない場合に迅速に
回復できます。
現在実行中の FortiManager 構成の正確さを手動で確認する必要があります。
・新しいFortiManager-VMをインストールするか、ハードウェアモデルを再初期化し、侵害された
FortiManagerからコンポーネントまたは構成セクションを復元/コピーします。
・新しいFortiManager-VMをインストールするか、ハードウェアモデルを再初期化し、侵害された
FortiManagerからバックアップを復元します。
データ構成と同期手順の詳細については、以下を参照してください。
https://community.fortinet.com/t5/FortiManager/Technical-Tip-FortiManager-data-configuration-and/ta-p/351748
本内容は2024年10月24日9;00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
©Copyright Zuken NetWave Inc. All right reserved.
