網絡安全公司 Fortinet 日前披露了自家軟件產品 FortiManager 存在的一個關鍵零日漏洞，能夠允許未經身份驗證的遠程攻擊者通過特制請求執行任意代碼或命令。目前該漏洞已在野外被積極利用。

根據 Fortinet 10月23日發布的報告，該漏洞被追蹤為CVE-2024-47575，CVSS v3 評分高達9.8，對多個版本的 FortiManager 以及 FortiManager Cloud 都有影響。該公司已經發布了一個補丁，并列出了用戶可以采用的幾種解決方法。

報告表明，該漏洞已被利用以自動從 FortiManager 中泄露敏感文件，包括 IP 地址、憑證和托管設備配置，但目前尚未收到在受感染的 FortiManager 系統上安裝任何惡意軟件或后門的低級系統報告。

參與此漏洞調查的Mandiant表示，一個新的威脅組織UNC5820早在 2024 年 6 月 27 日就利用了 FortiManager 漏洞，泄露并暫存了FortiManager 管理的 FortiGate 設備配置數據，其中包含受托管設備的詳細配置信息以及用戶的 FortiOS256 加密密碼，這些數據可能被 UNC5820 用來進一步破壞 FortiManager，并在企業環境中橫向移動。

目前Mandiant無法確定利用漏洞的攻擊者身份及其最終目的，因此提醒任何 FortiManager 暴露在互聯網上的組織都應立即進行取證調查。

受影響的版本和緩解措施

該漏洞影響 FortiManager 和 FortiManager Cloud 的多個版本：

• FortiManager：版本 7.6.0、7.4.0 到 7.4.4、7.2.0 到 7.2.7、7.0.0 到 7.0.12 以及 6.4.0 到 6.4.14。
• FortiManager Cloud：版本 7.4.1 到 7.4.4、7.2（所有版本）和 7.0（所有版本）。

Fortinet 已經發布了這些版本的補丁，并敦促用戶立即升級到安全版本。此外，某些版本還提供了解決方法，包括阻止未知設備注冊和使用自定義證書進行身份驗證。

Fortinet 建議立即采取措施保護受影響的系統：

• 升級：安裝 FortiManager 的最新補丁，如果使用 FortiManager Cloud，請遷移到固定版本。
• 查看配置：通過將配置與 IoC 檢測之前獲取的備份進行比較，確保配置未被篡改。
• 更改憑證：更新所有托管設備的密碼和用戶敏感數據。
• 隔離受感染的系統：將受感染的 FortiManager 系統與互聯網隔離，并將其配置為離線模式，以便與新設置進行比較。