Уязвимость демона fgfmd программного средства для централизованного управления устройствами Fortinet FortiManager связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированных сетевых запросов
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- для FortiManager версий 7.0.12 или выше, 7.2.5 или выше, 7.4.3 или выше (но не 7.6.0) настройка запрета попыток регистрации недоверенным устройствам:
config system global
(global)# set fgfm-deny-unknown enable
(global)# end
- для FortiManager версий 7.2.0 и выше добавление локальных политик для внесения в «белый» список IP-адресов FortiGates, которым разрешено подключение:
Пример:
config system local-in-policy
edit 1
set action accept
set dport 541
set src
next
edit 2
set dport 541
next
end
- для FortiManager версий 7.2.2 и выше, 7.4.0 и выше, 7.6.0 и выше использование пользовательского сертификата:
Пример:
config system global
set fgfm-ca-cert
set fgfm-cert-exclusive enable
end
- использование SIEM-систем для отслеживания индикаторов компрометации (IoC), указывающих на попытки эксплуатации уязвимости.
Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-24-423
| Балл | 10 — критическая опасность |