-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                   JPCERT-AT-2024-0020
                                                             JPCERT/CC
                                                     2024-10-24（公開）
                                                     2024-11-15（更新）

                 <<< JPCERT/CC Alert 2024-10-24 >>>

Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性（CVE-2024-47575）等に関する注意喚起

            https://www.jpcert.or.jp/at/2024/at240020.html


I. 概要
2024年10月23日（現地時間）、Fortinetは、FortiManagerにおける重要な機能
に対する認証の欠如の脆弱性（CVE-2024-47575）に関するアドバイザリ
（FG-IR-24-423）を公開しました。本脆弱性の悪用により、認証されていない
遠隔の第三者が、細工されたリクエストを送信し、任意のコードまたはコマン
ドを実行する可能性があります。Fortinetは、本脆弱性の悪用が報告されてい
ることを公開しています。

    Fortinet
    Missing authentication in fgfmsd
    https://www.fortiguard.com/psirt/FG-IR-24-423

11月1日時点での情報として、本脆弱性を悪用する攻撃は2024年6月に初めて
観測されて以降、これまでに9月22日近辺に大規模な攻撃活動が発生し、その後
10月23日近辺まで攻撃が続いていたとする観測情報をJPCERT/CCは確認しています。
本脆弱性の悪用に関する観測情報は今後も更新される可能性があるため、速やかに
対策や回避策の適用を検討してください。また、「V. 侵害調査方法」および
Fortinetの最新情報をご確認の上、あらためて自組織の侵害有無を調査してください。

** 更新: 2024年11月15日追記 ********************************************
2024年11月15日時点で、本脆弱性（CVE-2024-47575）の詳細を解説する情報や、
本脆弱性を実証するコード（Proof-of-Concept）などが公開されていることを
JPCERT/CCは確認しています。また、本脆弱性とは別の脆弱性が同製品に存在す
るという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解
説する情報も確認しています。

JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認され
たという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可
能性があります。本脆弱性や本製品について、今後も新たな情報が公開される
可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の
上、対策や調査を実施いただくことを推奨いたします。
************************************************************************

当アドバイザリではFortiManagerのfgfmdデーモンが悪用される点が問題とされて
います。なお、本情報との関連性は10月24日時点では不明ですが、Fortinetは本年
2月8日に公開したアドバイザリ（FG-IR-24-029）を10月11日に更新し、fgfmdに関
する脆弱性（CVE-2024-23113）の悪用可能性に言及しています。

    Fortinet
    Format String Bug in fgfmd
    https://www.fortiguard.com/psirt/FG-IR-24-029


II. 対象
対象となるシステムおよびバージョンは次のとおりです。詳細や最新の情報は
Fortinetが提供する情報をご確認ください。

（CVE-2024-47575の脆弱性）
  - FortiManager バージョン7.6.0
  - FortiManager バージョン7.4.0から7.4.4まで
  - FortiManager 7.2.0から7.2.7まで
  - FortiManager 7.0.0から7.0.12まで
  - FortiManager 6.4.0から6.4.14まで
  - FortiManager 6.2.0から6.2.12まで
  - FortiManager Cloud 7.4.1から7.4.4まで
  - FortiManager Cloud 7.2.1から7.2.7まで
  - FortiManager Cloud 7.0.1から7.0.12まで
  - FortiManager Cloud 6.4系のすべてのバージョン

旧バージョンのFortiAnalyzer（1000E、1000F、2000E、3000E、3000F、3000G、
3500E、3500F、3500G、3700F、3700G、3900E）も次の場合に本脆弱性の影響を
受けるとのことです。

  - FortiAnalyzer上のFortiManagerで「fmg-status」が有効である
  - fgfmサービスが有効となっているインタフェースが1つ以上存在する

（CVE-2024-23113の脆弱性）
  - FortiOS 7.4.0から7.4.2まで
  - FortiOS 7.2.0から7.2.6まで
  - FortiOS 7.0.0から7.0.13まで
  - FortiPAM 1.2系すべてのバージョン
  - FortiPAM 1.1系すべてのバージョン
  - FortiPAM 1.0系すべてのバージョン
  - FortiProxy 7.4.0から7.4.2まで
  - FortiProxy 7.2.0から7.2.8まで
  - FortiProxy 7.0.0から7.0.15まで
  - FortiSwitchManager 7.2.0から7.2.3まで
  - FortiSwitchManager 7.0.0から7.0.3まで

FortiSwitchManagerについては、10月17日のアドバイザリ更新で追加されてい
ます。その他製品についても今後追加される可能性がありますので、適時アド
バイザリをご確認ください。


III. 対策
Fortinetは本脆弱性を修正したバージョンへのアップグレードを推奨しています。
十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

（CVE-2024-47575の脆弱性）
  - FortiManager 7.6.1およびそれ以降
  - FortiManager 7.4.5およびそれ以降
  - FortiManager 7.2.8およびそれ以降
  - FortiManager 7.0.13およびそれ以降
  - FortiManager 6.4.15およびそれ以降
  - FortiManager 6.2.13およびそれ以降
  - FortiManager Cloud 7.4.5およびそれ以降
  - FortiManager Cloud 7.2.8およびそれ以降
  - FortiManager Cloud 7.0.13およびそれ以降
  - FortiManager Cloud 6.4系 修正リリースに移行

（CVE-2024-23113の脆弱性）
  - FortiOS バージョン7.4.3あるいはそれ以降
  - FortiOS バージョン7.2.7あるいはそれ以降
  - FortiOS バージョン7.0.14あるいはそれ以降
  - FortiProxy バージョン7.4.3あるいはそれ以降
  - FortiProxy バージョン7.2.9あるいはそれ以降
  - FortiProxy バージョン7.0.16あるいはそれ以降
  - FortiSwitchManager 7.2.4あるいはそれ以降
  - FortiSwitchManager 7.0.4あるいはそれ以降
  - FortiPAM 修正リリースに移行


IV. 回避策
Fortinetは本脆弱性に対して、回避策を提供しています。
修正済みバージョンの適用ができない場合は、Fortinetが提供する情報を確認
の上、回避策の適用をご検討ください。

（CVE-2024-47575の脆弱性）
バージョン7.6.0を除く、7.0.12以上、7.2.5以上、7.4.3以上の場合
  - 「fgfm-deny-unknown」の設定を有効にする
  - FortiManager（FMG）でFortiAnalyzer（FAZ）が有効の場合、「detect-unregistered-log-device」の設定を無効にして、syslog経由での未承認デバイス追加をブロックする
  - FortiGateのアップデートまたはWebフィルタリングが有効の場合、「unreg-dev-option」の設定をignoreにして、FDS経由での未承認デバイス追加をブロックする

バージョン7.2.0以降の場合
  - FortiManagerで接続が許可されるFortiGateのIPアドレスをポリシーで制限する

（CVE-2024-23113の脆弱性）
  - 各インタフェースでfgfmアクセスを削除無効にする


V. 侵害調査方法
CVE-2024-47575について、Fortinetが提供する最新の情報などを参考に、脆弱
性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。
Fortinetのアドバイザリ（FG-IR-24-423）には、侵害調査方法として脆弱性が
悪用された可能性を示すログや攻撃元IPアドレス、シリアルナンバー、作成さ
れたファイルの情報が公開されています。

なお、脆弱性を悪用された可能性を示すログが確認された場合、Fortinetは、
すべての管理対象デバイスの資格情報の速やかな変更を推奨しています。

侵害調査については、Fortinetからの情報とあわせて次の点もご確認ください。
  - FortiManagerから外向け通信をFirewallで遮断していない
  - geo blockingを有効としていない

上記2点の設定になっている場合は、次の調査も実施ください。
  - 調査対象：Firewallログ
  - 調査期間：2024年9月22日以降※
  - 侵害の痕跡：
    a. Fortinetが示す攻撃元IPアドレスからの 541/tcp による通信
    b. Fortinetが示す攻撃元IPアドレスへの 443/tcp による通信

※Mandiantのレポートによると、6月27日（現地時間）に攻撃元IPアドレスから
の541/tcpによる通信を確認しているとのことです。遡って当時のログまで確認
できるようであれば、調査されることを推奨します。


VI. 関連情報
2024年10月23日、海外セキュリティ研究者が、Fortinet製FortiManagerに意図
しないFortiGateが接続される問題を指摘するブログ記事を公開しており、同
研究者がハニーポットとして運用するFortiManagerに、意図しないFortiGateが
登録されたことを言及しています。

    Kevin Beaumont
    Burning Zero Days: FortiJump FortiManager vulnerability used by nation state in espionage via MSPs
    https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773


VII. 参考情報
    Fortinet
    Missing authentication in fgfmsd
    https://www.fortiguard.com/psirt/FG-IR-24-423

    Fortinet
    Format String Bug in fgfmd
    https://www.fortiguard.com/psirt/FG-IR-24-029

    Mandiant
    Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)
    https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/

    Securonix
    Details and Guidance on New “FortiJump” Vulnerability or CVE-2024-47575
    https://www.securonix.com/blog/details-and-guidance-on-new-fortijump-vulnerability-or-cve-2024-47575/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2024-10-24 公開
2024-10-25 「I. 概要」、「IV. 回避策」を更新
2024-11-01 「I. 概要」、「V. 侵害調査方法」、「VII. 参考情報」を更新
2024-11-15 「I. 概要」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=IIY3
-----END PGP SIGNATURE-----