O nouă vulnerabilitate a Fortinet FortiManager, denumită ‘FortiJump’ și urmărită ca CVE-2024-47575, a fost exploatată începând cu luna iunie 2024 în atacuri zero-day asupra a peste 50 de servere, conform unui nou raport realizat de Mandiant.
Timp de ultimele zece zile, zvonuri despre o vulnerabilitate activ exploatată a FortiManager-ului au circulat online după ce Fortinet a notificat în mod privat clienții într-o avertizare avansată de securitate.
Astăzi, Fortinet a dezvăluit în cele din urmă vulnerabilitatea FortiManager, declarând că este o defecțiune de autentificare lipsă în API-ul ‘FortiGate to FortiManager Protocol’ (FGFM) creat de Fortinet, care a permis atacatorilor neautentificați să execute comenzi pe server și pe dispozitivele FortiGate gestionate.
Actorii de amenințare ar putea exploata defecțiunea folosind dispozitive FortiManager și FortiGate controlate de atacator cu certificate valide pentru a se înregistra la orice server FortiManager expus.
Odată ce dispozitivul lor era conectat, chiar dacă era într-o stare neautorizată, aceștia puteau exploata defecțiunea pentru a executa comenzi API pe FortiManager și a fura date de configurare despre dispozitivele gestionate.
Fortinet a eliberat patch-uri pentru CVE-2024-47575 și a oferit măsuri de atenuare, cum ar fi permițerea conectării doar de la anumite adrese IP sau prevenirea dispozitivelor FortiGate necunoscute să se înregistreze folosind comanda ‘set fgfm-deny-unknown enable’.
Azi noapte, Mandiant raportează că un actor de amenințare urmărit ca UNC5820 a exploatat dispozitivele FortiManager încă din data de 27 iunie 2024.
‘UNC5820 a etapizat și a exfiltrat datele de configurare ale dispozitivelor FortiGate gestionate de FortiManager-ul exploatat,’ se arată în noul raport de la Mandiant.
‘Aceste date conțin informații detaliate de configurare ale aparatelor gestionate, precum și utilizatorii și parolele lor criptate cu FortiOS256.’
‘Aceste date ar putea fi folosite de UNC5820 pentru a compromite și mai mult FortiManager-ul, a se deplasa lateral către dispozitivele Fortinet gestionate și, în cele din urmă, a viza mediul de afaceri.’
Primul atac observat a provenit de la 45.32.41[.]202, când actorii de amenințare au înregistrat un FortiManager-VM neautorizat la un server FortiManager expus.
Acest dispozitiv a fost listat cu numele ‘localhost’ și a utilizat un număr de serie ‘FMG-VMTM23017412’, după cum se arată mai jos.
În cadrul atacului, Mandiant spune că au fost create patru fișiere:
În primul atac observat, adresa de email era ‘[email protected]’, iar numele companiei era ‘Purity Supreme’.
Mandiant spune că au analizat memoria unui dispozitiv compromis, dar nu au găsit semne de software-uri dăunătoare sau modificări ale fișierelor de sistem.
Deși atacatorii au exfiltrat date de pe dispozitive, Mandiant spune că nu au existat semne că UNC5820 a utilizat aceste informații sensibile pentru a se extinde lateral către dispozitivele FortiGate gestionate sau a compromite rețelele.
La acest punct, datele furate nu pot fi la fel de valoroase pentru atacatori, deoarece Mandiant și Fortinet au notificat clienții despre atacuri. Sperăm că clienții și-au modificat parolele și au luat alte precauții.
Deoarece nu a existat nicio activitate de urmărire după atacurile inițiale, Mandiant nu a reușit să determine obiectivul actorului de amenințare și locația acestora.
‘Ca urmare, la momentul publicării, ne lipsesc date suficiente pentru a evalua motivația sau locația actorului. Pe măsură ce informații suplimentare devin disponibile în urma investigațiilor noastre, Mandiant va actualiza evaluarea de atribuire a acestui blog,’ a explicat Mandiant.
Fortinet a împărtășit informații suplimentare în avertizarea sa CVE-2024-47575 (FG-IR-24-423), inclusiv metode de atenuare și recuperare. Avertizarea include, de asemenea, IOCs suplimentare, inclusiv alte adrese IP utilizate de atacatori și înregistrări de loguri pentru detectarea unui server FortiManager compromis.
Fortinet avertizează asupra noii vulnerabilități critice a FortiManager folosită în atacuri zero-day
Anunțuri malitioase au exploatat o vulnerabilitate zero-day a Internet Explorer pentru a distribui malware
Google: 70% dintre vulnerabilitățile exploatate dezvăluite în 2023 au fost zero-day-uri
CISA spune că vulnerabilitatea critică de RCE a Fortinet este acum exploatată în atacuri
Mozilla rezolvă vulnerabilitatea zero-day a Firefox exploatată activ în atacuri
Leave a Reply