A Mandiant jelentése szerint a Fortinet FortiManager „FortiJump” névre keresztelt, CVE-2024-47575 számon nyomon követett, biztonsági hibáját 2024 júniusa óta több mint 50 szerveren használták ki nulladik napi támadások során.
A fenyegető szereplők érvényes tanúsítványokkal rendelkező FortiManager és FortiGate eszközök felhasználásával regisztrálhatták magukat bármelyik kitett FortiManager kiszolgálóra. Miután az eszközük csatlakozott ─ még ha nem is volt engedélyezett állapotban ─, a hiba kihasználásával API parancsokat hajthattak végre a FortiManageren, és ellophatták a kezelt eszközök konfigurációs adatait.
Most a Fortinet nyilvánosságra hozott egy biztonsági közleményt erről a FortiManager sebezhetőségről, amely egy hiányzó hitelesítési hiba a Fortinet „FortiGate to FortiManager Protocol” (FGFM) API-ban, ami lehetővé tette a támadók számára a hitelesítés nélküli parancs végrehajtást a szerveren és a FortiGate eszközökön.
A Fortinet kiadta a hiba javítását, és további információkat osztott meg a CVE-2024-47575 (FG-IR-24-423) közleményében, beleértve a kárenyhítési és helyreállítási módszereket. A tanácsadás további IoC-ket is tartalmaz, mint például a támadók által használt egyéb IP címek és a kompromittált FortiManager szerver észlelésére szolgáló naplóbejegyzések.
A Mandiant arról is beszámolt, hogy az UNC5820 néven nyomon követett fenyegető szereplő már 2024. június 27. óta kihasználja a sérülékenységet. A támadók által kinyert adatok a kezelt készülékek részletes konfigurációs adatait, valamint a felhasználókat és FortiOS256-tal zárolt jelszavaikat tartalmazzák. Ezek az adatok felhasználhatók a FortiManager további kompromittálására, oldalirányú mozgásra a kezelt Fortinet-eszközökön, és végül a vállalati környezet megcélzására.
Az első megfigyelt támadás a 45.32.41[.]202 címről érkezett, amikor a fenyegető szereplők egy illetéktelen FortiManager-VM-et regisztráltak egy FortiManager kiszolgálóra. Ez az eszköz a „localhost” névvel szerepelt, és az „FMG-VMTM23017412” sorozatszámot használta.
A Mandiant szerint, a támadás részeként négy fájlt hoztak létre:
/tmp/.tm – Egy gzip-archívum, amely a kezelt FortiGate-eszközökről, a FortiManager-kiszolgálóról és annak globális adatbázisáról szóló, kiszivárgott információkat tartalmaz.
/fds/data/unreg_devices.txt – A nem regisztrált eszköz sorozatszámát és IP címét tartalmazza.
/fds/data/subs.dat.tmp – Ismeretlen.
/fds/data/subs.dat – Ez a fájl a támadó által ellenőrzött eszköz sorozatszámát, felhasználói azonosítóját, cégnevét és egy e-mail címet tartalmazta.
Az első megfigyelt támadásban az e-mail cím „0qsc137p@justdefinition.com”, a cég neve pedig „Purity Supreme” volt.
A Mandiant elemezte egy fertőzött eszköz memóriáját, de nem találtak rosszindulatú payloadra vagy a rendszerfájlok manipulálására utaló jeleket.
Bár a támadók adatokat szivárogtattak ki az eszközökről, nem volt jele annak, hogy az UNC5820 felhasználta volna ezeket az érzékeny információkat arra, hogy oldalirányban terjedjen a kezelt FortiGate eszközökre vagy betörjön a hálózatokba.
Mivel a kezdeti támadások után nem volt nyomon követési tevékenység, a Mandiant nem tudta meghatározni a fenyegető szereplő célját és azt, hogy hol tartózkodhatnak. A közleményük szerint, amint további információk válnak elérhetővé, frissíteni fogják a blogbejegyzést.
