Fortinetは米国時間10月23日、同社の管理ツール「FortiManager」に存在する認証欠如の脆弱(ぜいじゃく)性(CVE-2024-47575)の情報を公開した。また、Google Cloud傘下のMandiantも同日、この脆弱性を悪用する攻撃者グループの分析情報を公表した。
Fortinetによると、この脆弱性は、FortiManagerのfgfmdデーモンにおける認証が欠如してしまうという。悪用された場合、認証されていないリモートの第三者が、特別に細工されたリクエストを介して、任意のコードやコマンドを実行する恐れがある。
脆弱性の影響を受ける製品とバージョンは、FortiManagerの6.2.0~6.2.12、同6.4.0から6.4.14、同7.0.0~7.0.12、同7.2.0から7.2.7、同7.4.0~7.4.4、同7.6.0と、「FortiManager Cloud」の6.4全バージョン、同7.0.1~7.0.12、7.2.1~7.2.7、7.4.1~7.4.4となる。
脆弱性を修正したバージョンは、FortiManagerが6.2.13、6.4.15、7.0.13、7.2.8、7.4.5、7.6.1の各バージョンおよびそれ以上と、FortiManager Cloudが7.0.13、7.2.8、7.4.5の各バージョンおよびそれ以上になる。
また、分析ツール「FortiAnalyzer」の古いバージョン(1000E、1000F、2000E、3000E、3000F、3000G、3500E、3500F、3500G、3700F、3700G、3900E)において、FortiAnalyzer上でFortiManagerの設定が「config system global, set fmg-status enable, end」となっている、もしくはfgfmサービスが有効となっているインターフェースが1つ以上存在するケースでも脆弱性の影響を受けるとしている。
なお、FortiManager Cloudのバージョン7.6は、この脆弱性を受けない。さらに、FortiManager Cloud 6.4全バージョンについては修正版がなく、同社は修正が提供されているバージョンへの移行を呼び掛けている。
Mandiantによると、同社が「UNC5820」の識別子で追跡している脅威の集団が、米国時間6月27日にFortiManagerの脆弱性を悪用し、FortiManagerの管理下にある「FortiGate」機器の構成データを窃取していることを発見したという。
Mandiantは、Fortinetと連携して、さまざまな業界の潜在的に侵害された恐れのある50台以上のFortiManager製品を分析調査し、今回の脆弱性を発見したという。なお、UNC5820は、窃取した情報から標的への侵害を拡大させていた可能性があるものの、現時点でその証拠は見つかっていないとし、脆弱性を悪用している攻撃者グループの詳細も引き続き調査中だとしている。
