Hari ini, CISA mengungkapkan bahwa penyerang secara aktif mengeksploitasi kerentanan kritis eksekusi kode jarak jauh (RCE) FortiOS di alam liar.
Cacat (CVE-2024-23113) disebabkan oleh daemon fgfmd yang menerima string format yang dikontrol secara eksternal sebagai argumen, yang memungkinkan pelaku ancaman yang tidak diautentikasi mengeksekusi perintah atau kode arbitrer pada perangkat yang belum dipatch dalam serangan kompleksitas rendah yang tidak memerlukan pengguna interaksi.
Seperti yang dijelaskan Fortinet, daemon fgfmd yang rentan berjalan di FortiGate dan FortiManager, menangani semua permintaan otentikasi dan mengelola pesan tetap hidup di antara keduanya (serta semua tindakan yang dihasilkan seperti menginstruksikan proses lain untuk memperbarui file atau database).
CVE-2024-23113 berdampak pada FortiOS 7.0 dan yang lebih baru, FortiPAM 1.0 dan yang lebih baru, FortiProxy 7.0 dan yang lebih baru, serta FortiWeb 7.4.
Perusahaan mengungkapkan dan menambal kelemahan keamanan ini pada bulan Februari ketika menyarankan admin untuk menghapus akses ke fgfmd damon untuk semua antarmuka sebagai tindakan mitigasi yang dirancang untuk memblokir potensi serangan.
“Perhatikan bahwa ini akan mencegah penemuan FortiGate dari FortiManager. Koneksi masih dapat dilakukan dari FortiGate,” kata Fortinet.
“Harap dicatat juga bahwa kebijakan lokal yang hanya mengizinkan koneksi FGFM dari IP tertentu akan mengurangi permukaan serangan tetapi tidak akan mencegah eksploitasi kerentanan dari IP ini. Sebagai konsekuensinya, hal ini harus digunakan sebagai mitigasi dan bukan sebagai solusi yang lengkap.”
Badan-badan federal memerintahkan untuk menambal dalam waktu tiga minggu
Meskipun Fortinet belum memperbarui peringatan bulan Februari untuk mengonfirmasi eksploitasi CVE-2024-23113, CISA ditambahkan kerentanannya Katalog Kerentanan yang Dieksploitasi yang Diketahui pada hari Rabu.
Badan-badan federal AS kini juga diwajibkan untuk mengamankan perangkat FortiOS di jaringan mereka dari serangan yang sedang berlangsung ini dalam waktu tiga minggu, paling lambat tanggal 30 Oktober, sebagaimana diwajibkan oleh arahan operasional yang mengikat (Direksi 22-01) diterbitkan pada bulan November 2021.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan.
Badan Intelijen dan Keamanan Militer Belanda (MIVD) diperingatkan pada bulan Juni bahwa peretas Tiongkok mengeksploitasi kerentanan penting FortiOS RCE lainnya (CVE-2022-42475) antara tahun 2022 dan 2023 untuk menembus dan menginfeksi setidaknya 20,000 peralatan keamanan jaringan Fortigate dengan malware.
