Rischi di esecuzione di codice remoto e misure di mitigazione
La vulnerabilità critica nel FortiOS, identificata come CVE-2024-23113, rappresenta un rischio significativo per oltre 87.000 dispositivi. Questa vulnerabilità consente agli attacchi di esecuzione di codice remoto (RCE) senza autenticazione, rendendo i dispositivi vulnerabili a low-complexity attacks che non richiedono interazione utente. In questo articolo, esploreremo i dettagli della vulnerabilità, le misure di mitigazione raccomandate e i suggerimenti per proteggere i dispositivi FortiOS.
Dettagli della Vulnerabilità
La vulnerabilità CVE-2024-23113 è causata dal daemon fgfmd che accetta una stringa di formato controllata da un attore esterno come argomento. Questo permette agli attacchi di eseguire comandi o codice arbitrario su dispositivi non aggiornati. Il daemon fgfmd è utilizzato da FortiGate e FortiManager per gestire le richieste di autenticazione e le comunicazioni di keep-alive tra i dispositivi.
Impatto della Vulnerabilità
La vulnerabilità CVE-2024-23113 colpisce le versioni di FortiOS 7.0 e successive, FortiPAM 1.0 e superiori, FortiProxy 7.0 e superiori, e FortiWeb 7.4. Questo significa che molti dispositivi FortiOS potrebbero essere esposti a questo rischio critico.
Misure di Mitigazione Raccomandate
Fortinet ha già pubblicato un advisory nel febbraio 2024, raccomandando di rimuovere l’accesso al daemon fgfmd per tutte le interfacce come misura di mitigazione. Questo blocca potenziali attacchi, ma è importante notare che ciò potrebbe impedire la scoperta di FortiGate da parte di FortiManager. Inoltre, Fortinet suggerisce di utilizzare una politica locale-in che consenta solo le connessioni FGFM da un’IP specifica per ridurre la superficie di attacco, anche se non prevenirebbe completamente la vulnerabilità da questo IP.
Suggerimenti e Consigli
- Aggiornamento dei Dispositivi: Assicurarsi che tutti i dispositivi FortiOS siano aggiornati alle versioni più recenti, in particolare quelle che includono il patch per la vulnerabilità CVE-2024-23113.
- Rimozione dell’Accesso al Daemon
fgfmd: Seguire le istruzioni di Fortinet per rimuovere l’accesso al daemonfgfmdper tutte le interfacce. Questo è un passo cruciale per prevenire gli attacchi RCE. - Utilizzo di Politiche Locali: Implementare politiche locali-in che consentano solo le connessioni FGFM da un’IP specifico. Ciò ridurrà la superficie di attacco, anche se non prevenirà completamente la vulnerabilità da questo IP.
- Monitoraggio Continuo: Monitorare continuamente i dispositivi FortiOS per rilevare eventuali segni di attacco o comportamenti anomali.
- Formazione del Personale: Assicurarsi che il personale tecnico sia formato sui rischi della vulnerabilità e sulle misure di mitigazione raccomandate.
- Pianificazione di Emergenza: Pianificare una risposta rapida in caso di attacco, includendo procedure per isolare i dispositivi colpiti e ripristinare i servizi critici.
La vulnerabilità critica nel FortiOS rappresenta un rischio significativo che richiede immediate azioni di mitigazione. Seguendo le raccomandazioni di Fortinet e implementando le misure di sicurezza appropriate, è possibile ridurre il rischio di attacchi RCE e proteggere i dispositivi FortiOS. È fondamentale mantenere un monitoraggio continuo e una formazione del personale adeguata per affrontare eventuali minacce future.
Fonte: https://cybersecuritynews.com/87000-fortios-rce-attacks/
