JPCERT-AT-2024-0020
JPCERT/CC
2024-10-24(公開)
2024-11-15(更新)
Fortinet
Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
11月1日時点での情報として、本脆弱性を悪用する攻撃は2024年6月に初めて観測されて以降、これまでに9月22日近辺に大規模な攻撃活動が発生し、その後10月23日近辺まで攻撃が続いていたとする観測情報をJPCERT/CCは確認しています。本脆弱性の悪用に関する観測情報は今後も更新される可能性があるため、速やかに対策や回避策の適用を検討してください。また、「V. 侵害調査方法」およびFortinetの最新情報をご確認の上、あらためて自組織の侵害有無を調査してください。
当アドバイザリではFortiManagerのfgfmdデーモンが悪用される点が問題とされています。なお、本情報との関連性は10月24日時点では不明ですが、Fortinetは本年2月8日に公開したアドバイザリ(FG-IR-24-029)を10月11日に更新し、fgfmdに関する脆弱性(CVE-2024-23113)の悪用可能性に言及しています。
Fortinet
Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
(CVE-2024-47575の脆弱性)
- FortiManager バージョン7.6.0
- FortiManager バージョン7.4.0から7.4.4まで
- FortiManager 7.2.0から7.2.7まで
- FortiManager 7.0.0から7.0.12まで
- FortiManager 6.4.0から6.4.14まで
- FortiManager 6.2.0から6.2.12まで
- FortiManager Cloud 7.4.1から7.4.4まで
- FortiManager Cloud 7.2.1から7.2.7まで
- FortiManager Cloud 7.0.1から7.0.12まで
- FortiManager Cloud 6.4系のすべてのバージョン
旧バージョンのFortiAnalyzer(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)も次の場合に本脆弱性の影響を受けるとのことです。
- FortiAnalyzer上のFortiManagerで「fmg-status」が有効である
- fgfmサービスが有効となっているインタフェースが1つ以上存在する
(CVE-2024-23113の脆弱性)
- FortiOS 7.4.0から7.4.2まで
- FortiOS 7.2.0から7.2.6まで
- FortiOS 7.0.0から7.0.13まで
- FortiPAM 1.2系すべてのバージョン
- FortiPAM 1.1系すべてのバージョン
- FortiPAM 1.0系すべてのバージョン
- FortiProxy 7.4.0から7.4.2まで
- FortiProxy 7.2.0から7.2.8まで
- FortiProxy 7.0.0から7.0.15まで
- FortiSwitchManager 7.2.0から7.2.3まで
- FortiSwitchManager 7.0.0から7.0.3まで
FortiSwitchManagerについては、10月17日のアドバイザリ更新で追加されています。その他製品についても今後追加される可能性がありますので、適時アドバイザリをご確認ください。
(CVE-2024-47575の脆弱性)
- FortiManager 7.6.1およびそれ以降
- FortiManager 7.4.5およびそれ以降
- FortiManager 7.2.8およびそれ以降
- FortiManager 7.0.13およびそれ以降
- FortiManager 6.4.15およびそれ以降
- FortiManager 6.2.13およびそれ以降
- FortiManager Cloud 7.4.5およびそれ以降
- FortiManager Cloud 7.2.8およびそれ以降
- FortiManager Cloud 7.0.13およびそれ以降
- FortiManager Cloud 6.4系 修正リリースに移行
(CVE-2024-23113の脆弱性)
- FortiOS バージョン7.4.3あるいはそれ以降
- FortiOS バージョン7.2.7あるいはそれ以降
- FortiOS バージョン7.0.14あるいはそれ以降
- FortiProxy バージョン7.4.3あるいはそれ以降
- FortiProxy バージョン7.2.9あるいはそれ以降
- FortiProxy バージョン7.0.16あるいはそれ以降
- FortiSwitchManager 7.2.4あるいはそれ以降
- FortiSwitchManager 7.0.4あるいはそれ以降
- FortiPAM 修正リリースに移行
(CVE-2024-47575の脆弱性)バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合
- 「fgfm-deny-unknown」の設定を有効にする
- FortiManager(FMG)でFortiAnalyzer(FAZ)が有効の場合、「detect-unregistered-log-device」の設定を無効にして、syslog経由での未承認デバイス追加をブロックする
- FortiGateのアップデートまたはWebフィルタリングが有効の場合、「unreg-dev-option」の設定をignoreにして、FDS経由での未承認デバイス追加をブロックする
バージョン7.2.0以降の場合
- FortiManagerで接続が許可されるFortiGateのIPアドレスをポリシーで制限する
(CVE-2024-23113の脆弱性)
- 各インタフェースでfgfmアクセスを削除無効にする
なお、脆弱性を悪用された可能性を示すログが確認された場合、Fortinetは、すべての管理対象デバイスの資格情報の速やかな変更を推奨しています。
侵害調査については、Fortinetからの情報とあわせて次の点もご確認ください。
- FortiManagerから外向け通信をFirewallで遮断していない
- geo blockingを有効としていない
上記2点の設定になっている場合は、次の調査も実施ください。
- 調査対象:Firewallログ
- 調査期間:2024年9月22日以降※
- 侵害の痕跡:
a. Fortinetが示す攻撃元IPアドレスからの 541/tcp による通信
b. Fortinetが示す攻撃元IPアドレスへの 443/tcp による通信
※Mandiantのレポートによると、6月27日(現地時間)に攻撃元IPアドレスからの541/tcpによる通信を確認しているとのことです。遡って当時のログまで確認できるようであれば、調査されることを推奨します。
Kevin Beaumont
Burning Zero Days: FortiJump FortiManager vulnerability used by nation state in espionage via MSPs
https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
Fortinet
Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
Fortinet
Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
Mandiant
Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/
Securonix
Details and Guidance on New “FortiJump” Vulnerability or CVE-2024-47575
https://www.securonix.com/blog/details-and-guidance-on-new-fortijump-vulnerability-or-cve-2024-47575/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2024-10-25 「I. 概要」、「IV. 回避策」を更新
2024-11-01 「I. 概要」、「V. 侵害調査方法」、「VII. 参考情報」を更新
2024-11-15 「I. 概要」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2024-10-24(公開)
2024-11-15(更新)
I. 概要
2024年10月23日(現地時間)、Fortinetは、FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)に関するアドバイザリ(FG-IR-24-423)を公開しました。本脆弱性の悪用により、認証されていない遠隔の第三者が、細工されたリクエストを送信し、任意のコードまたはコマンドを実行する可能性があります。Fortinetは、本脆弱性の悪用が報告されていることを公開しています。Fortinet
Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
11月1日時点での情報として、本脆弱性を悪用する攻撃は2024年6月に初めて観測されて以降、これまでに9月22日近辺に大規模な攻撃活動が発生し、その後10月23日近辺まで攻撃が続いていたとする観測情報をJPCERT/CCは確認しています。本脆弱性の悪用に関する観測情報は今後も更新される可能性があるため、速やかに対策や回避策の適用を検討してください。また、「V. 侵害調査方法」およびFortinetの最新情報をご確認の上、あらためて自組織の侵害有無を調査してください。
更新: 2024年11月15日追記
2024年11月15日時点で、本脆弱性(CVE-2024-47575)の詳細を解説する情報や、本脆弱性を実証するコード(Proof-of-Concept)などが公開されていることをJPCERT/CCは確認しています。また、本脆弱性とは別の脆弱性が同製品に存在するという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解説する情報も確認しています。
JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認されたという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可能性があります。本脆弱性や本製品について、今後も新たな情報が公開される可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の上、対策や調査を実施いただくことを推奨いたします。
JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認されたという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可能性があります。本脆弱性や本製品について、今後も新たな情報が公開される可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の上、対策や調査を実施いただくことを推奨いたします。
当アドバイザリではFortiManagerのfgfmdデーモンが悪用される点が問題とされています。なお、本情報との関連性は10月24日時点では不明ですが、Fortinetは本年2月8日に公開したアドバイザリ(FG-IR-24-029)を10月11日に更新し、fgfmdに関する脆弱性(CVE-2024-23113)の悪用可能性に言及しています。
Fortinet
Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
II. 対象
対象となるシステムおよびバージョンは次のとおりです。詳細や最新の情報はFortinetが提供する情報をご確認ください。(CVE-2024-47575の脆弱性)
- FortiManager バージョン7.6.0
- FortiManager バージョン7.4.0から7.4.4まで
- FortiManager 7.2.0から7.2.7まで
- FortiManager 7.0.0から7.0.12まで
- FortiManager 6.4.0から6.4.14まで
- FortiManager 6.2.0から6.2.12まで
- FortiManager Cloud 7.4.1から7.4.4まで
- FortiManager Cloud 7.2.1から7.2.7まで
- FortiManager Cloud 7.0.1から7.0.12まで
- FortiManager Cloud 6.4系のすべてのバージョン
旧バージョンのFortiAnalyzer(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)も次の場合に本脆弱性の影響を受けるとのことです。
- FortiAnalyzer上のFortiManagerで「fmg-status」が有効である
- fgfmサービスが有効となっているインタフェースが1つ以上存在する
(CVE-2024-23113の脆弱性)
- FortiOS 7.4.0から7.4.2まで
- FortiOS 7.2.0から7.2.6まで
- FortiOS 7.0.0から7.0.13まで
- FortiPAM 1.2系すべてのバージョン
- FortiPAM 1.1系すべてのバージョン
- FortiPAM 1.0系すべてのバージョン
- FortiProxy 7.4.0から7.4.2まで
- FortiProxy 7.2.0から7.2.8まで
- FortiProxy 7.0.0から7.0.15まで
- FortiSwitchManager 7.2.0から7.2.3まで
- FortiSwitchManager 7.0.0から7.0.3まで
FortiSwitchManagerについては、10月17日のアドバイザリ更新で追加されています。その他製品についても今後追加される可能性がありますので、適時アドバイザリをご確認ください。
III. 対策
Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。(CVE-2024-47575の脆弱性)
- FortiManager 7.6.1およびそれ以降
- FortiManager 7.4.5およびそれ以降
- FortiManager 7.2.8およびそれ以降
- FortiManager 7.0.13およびそれ以降
- FortiManager 6.4.15およびそれ以降
- FortiManager 6.2.13およびそれ以降
- FortiManager Cloud 7.4.5およびそれ以降
- FortiManager Cloud 7.2.8およびそれ以降
- FortiManager Cloud 7.0.13およびそれ以降
- FortiManager Cloud 6.4系 修正リリースに移行
(CVE-2024-23113の脆弱性)
- FortiOS バージョン7.4.3あるいはそれ以降
- FortiOS バージョン7.2.7あるいはそれ以降
- FortiOS バージョン7.0.14あるいはそれ以降
- FortiProxy バージョン7.4.3あるいはそれ以降
- FortiProxy バージョン7.2.9あるいはそれ以降
- FortiProxy バージョン7.0.16あるいはそれ以降
- FortiSwitchManager 7.2.4あるいはそれ以降
- FortiSwitchManager 7.0.4あるいはそれ以降
- FortiPAM 修正リリースに移行
IV. 回避策
Fortinetは本脆弱性に対して、回避策を提供しています。修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認の上、回避策の適用をご検討ください。(CVE-2024-47575の脆弱性)バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合
- 「fgfm-deny-unknown」の設定を有効にする
- FortiManager(FMG)でFortiAnalyzer(FAZ)が有効の場合、「detect-unregistered-log-device」の設定を無効にして、syslog経由での未承認デバイス追加をブロックする
- FortiGateのアップデートまたはWebフィルタリングが有効の場合、「unreg-dev-option」の設定をignoreにして、FDS経由での未承認デバイス追加をブロックする
バージョン7.2.0以降の場合
- FortiManagerで接続が許可されるFortiGateのIPアドレスをポリシーで制限する
(CVE-2024-23113の脆弱性)
- 各インタフェースでfgfmアクセスを削除無効にする
V. 侵害調査方法
CVE-2024-47575について、Fortinetが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。Fortinetのアドバイザリ(FG-IR-24-423)には、侵害調査方法として脆弱性が悪用された可能性を示すログや攻撃元IPアドレス、シリアルナンバー、作成されたファイルの情報が公開されています。なお、脆弱性を悪用された可能性を示すログが確認された場合、Fortinetは、すべての管理対象デバイスの資格情報の速やかな変更を推奨しています。
侵害調査については、Fortinetからの情報とあわせて次の点もご確認ください。
- FortiManagerから外向け通信をFirewallで遮断していない
- geo blockingを有効としていない
上記2点の設定になっている場合は、次の調査も実施ください。
- 調査対象:Firewallログ
- 調査期間:2024年9月22日以降※
- 侵害の痕跡:
a. Fortinetが示す攻撃元IPアドレスからの 541/tcp による通信
b. Fortinetが示す攻撃元IPアドレスへの 443/tcp による通信
※Mandiantのレポートによると、6月27日(現地時間)に攻撃元IPアドレスからの541/tcpによる通信を確認しているとのことです。遡って当時のログまで確認できるようであれば、調査されることを推奨します。
VI. 関連情報
2024年10月23日、海外セキュリティ研究者が、Fortinet製FortiManagerに意図しないFortiGateが接続される問題を指摘するブログ記事を公開しており、同研究者がハニーポットとして運用するFortiManagerに、意図しないFortiGateが登録されたことを言及しています。Kevin Beaumont
Burning Zero Days: FortiJump FortiManager vulnerability used by nation state in espionage via MSPs
https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
VII. 参考情報
Fortinet
Missing authentication in fgfmsd
https://www.fortiguard.com/psirt/FG-IR-24-423
Fortinet
Format String Bug in fgfmd
https://www.fortiguard.com/psirt/FG-IR-24-029
Mandiant
Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/
Securonix
Details and Guidance on New “FortiJump” Vulnerability or CVE-2024-47575
https://www.securonix.com/blog/details-and-guidance-on-new-fortijump-vulnerability-or-cve-2024-47575/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2024-10-24 公開2024-10-25 「I. 概要」、「IV. 回避策」を更新
2024-11-01 「I. 概要」、「V. 侵害調査方法」、「VII. 参考情報」を更新
2024-11-15 「I. 概要」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
