A vulnerabilidade, identificada como CVE-2024-47575 (pontuação CVSS: 9,8) e apelidada de FortiJump, está relacionada ao protocolo FortiGate para FortiManager (FGFM).
"Uma falha de autenticação em uma função crítica [CWE-306] no daemon fgfmd do FortiManager pode permitir que um invasor remoto não autenticado execute códigos ou comandos arbitrários por meio de solicitações especialmente criadas", disse a empresa em um comunicado na quarta-feira.
A vulnerabilidade afeta as versões 7.x, 6.x e FortiManager Cloud 7.x e 6.x, além dos modelos antigos do FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G e 3900E que possuem pelo menos uma interface com o serviço FGFM ativado e a seguinte configuração:
config system global
set fmg-status enable
endA Fortinet também forneceu três soluções alternativas dependendo da versão do FortiManager instalada:
FortiManager versões 7.0.12 ou superior, 7.2.5 ou superior, 7.4.3 ou superior: Impede que dispositivos desconhecidos tentem se registrar.
FortiManager versões 7.2.0 e posteriores: Adicionar políticas de entrada local para permitir apenas endereços IP autorizados dos FortiGates.
FortiManager versões 7.2.2 e posteriores, 7.4.0 e posteriores, 7.6.0 e posteriores: Utilizar um certificado personalizado.
De acordo com a runZero, uma exploração bem-sucedida exige que os invasores possuam um certificado de dispositivo Fortinet válido, que pode ser obtido de dispositivos existentes e reutilizado. A runZero destacou que os ataques automatizam a exfiltração de arquivos do FortiManager contendo IPs, credenciais e configurações de dispositivos gerenciados.
No entanto, a Fortinet ressaltou que, até o momento, a vulnerabilidade não foi usada para implantar malware ou backdoors em sistemas FortiManager comprometidos, nem há indícios de modificação de bancos de dados ou conexões.
O incidente levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar a falha ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções até 13 de novembro de 2024.
"Após identificar a vulnerabilidade (CVE-2024-47575), a Fortinet imediatamente comunicou as informações críticas aos clientes, conforme nossas práticas recomendadas de divulgação responsável, permitindo que os clientes reforcem sua postura de segurança antes do aviso público. Também publicamos um aviso público (FG-IR-24-423) reiterando as orientações de mitigação, incluindo soluções alternativas e atualizações de patches. Recomendamos que os clientes sigam as orientações e acompanhem nossa página de avisos para mais atualizações. Continuamos a trabalhar com agências governamentais e organizações do setor como parte de nossa resposta contínua."
A Mandiant, subsidiária do Google, atribuiu a exploração em massa de appliances FortiManager usando a falha CVE-2024-47575 a um grupo de ameaças recém-identificado, denominado UNC5820. Foram identificados até agora 50 dispositivos FortiManager potencialmente comprometidos, com evidências de exploração datadas de 27 de junho de 2024.
"O UNC5820 obteve e exfiltrou dados de configuração de dispositivos FortiGate gerenciados pelos FortiManagers comprometidos", afirmaram os pesquisadores da Mandiant, Foti Castelan, Max Thauer, JP Glab, Gabby Roncone, Tufail Ahmed e Jared Wilson.
"Esses dados contêm informações detalhadas de configuração, incluindo usuários e senhas com hash (FortiOS256). Essas informações podem ser usadas pelo UNC5820 para comprometer mais profundamente o FortiManager, mover-se lateralmente para dispositivos Fortinet gerenciados e, potencialmente, atingir o ambiente corporativo."
Apesar da gravidade da situação, a Mandiant afirmou que não encontrou evidências de que o grupo tenha utilizado os dados de configuração para movimentos laterais ou exploração posterior. As origens e motivações do UNC5820 permanecem desconhecidas, devido à falta de informações adicionais.
Via - THN
Kommentarer