A CISA közzé tette, hogy a kiberbűnözők aktívan kihasználják a FortiOS távoli kódfuttatási (RCE) kritikus sebezhetőségét. A CVE-2024-23113 néven nyomon követett hibát az okozza, hogy az fgfmd daemon program egy külsőleg vezérelt formátumstringet fogad el argumentumként, amely lehetővé teszi a támadók számára, hogy parancsokat hajtsanak végre vagy tetszőleges kódot futtassanak a nem patchelt eszközökön. A Fortinet magyarázata szerint a sebezhető fgfmd daemon fut a FortiGate-en és a FortiManager-en, kezeli az összes hitelesítési kérést és a köztük lévő keep-alive üzeneteket (valamint az összes ebből eredő műveletet, például más folyamatok utasítását fájlok vagy adatbázisok frissítésére).
A CVE-2024-23113 érinti:
- a FortiOS 7.0-s és újabb,
- a FortiPAM 1.0-s és újabb,
- a FortiProxy 7.0-s és újabb, valamint
- a FortiWeb 7.4-es verzióit.
A vállalat februárban nyilvánosságra hozta és kijavította ezt a sérülékenységet, valamint azt tanácsolta az adminoknak, hogy távolítsák el az fgfmd daemonhoz való hozzáférést az összes interfészen a potenciális támadások blokkolása érdekében. Ez egy helyi szabály, ami csak egy adott IP-címről engedélyezi az FGFM kapcsolatokat, csökkenti a támadási felületet, de nem akadályozza meg a sérülékenység kihasználását az adott IP-ről.
A CISA hozzáadta a CVE-2024-23113 sebezhetőséget a KEV (Known Exploited Vulnerabilities) katalógusához.
