Νέο κρίσιμο σφάλμα απειλεί την ασφάλεια – Προειδοποίηση από την Fortinet!

Η Fortinet αποκάλυψε δημόσια σήμερα μια κρίσιμη ευπάθεια FortiManager API, η οποία παρακολουθείται ως CVE-2024-47575, η οποία αξιοποιήθηκε σε επιθέσεις zero-day για την κλοπή ευαίσθητων αρχείων που περιέχουν διαμορφώσεις, διευθύνσεις IP και διαπιστευτήρια για διαχειριζόμενες συσκευές.

Η εταιρεία προειδοποίησε ιδιωτικά τους πελάτες του FortiManager για το ελάττωμα από τις 13 Οκτωβρίου σε προηγμένα μηνύματα ειδοποιήσεων που εμφανίστηκαν από το BleepingComputer και περιείχαν βήματα για τον μετριασμό του ελαττώματος μέχρι να κυκλοφορήσει μια ενημέρωση ασφαλείας.

Ωστόσο, οι ειδήσεις για την ευπάθεια άρχισαν να διαρρέουν στο διαδίκτυο όλη την εβδομάδα από πελάτες Reddit και από ερευνητή κυβερνοασφάλειας Κέβιν Μπομοντ στον Mastodon, ο οποίος αποκαλεί αυτό το ελάττωμα “FortiJump”.

Οι διαχειριστές συσκευών Fortinet μοιράστηκαν επίσης ότι αυτό το ελάττωμα έχει γίνει αντικείμενο εκμετάλλευσης για λίγο, με έναν πελάτη να αναφέρει ότι δέχτηκε επίθεση εβδομάδες πριν σταλούν οι ειδοποιήσεις στους πελάτες.

«Έχουμε παραβιαστεί σε αυτό μια εβδομάδα πριν χτυπήσει τις “προκαταβολικές ειδοποιήσεις” – 0-ημέρα υποθέτω”, αναφέρει ένα σχόλιο που έχει πλέον διαγραφεί στο Reddit.

Το FortiManager zero-day αποκαλύφθηκε

Σήμερα, η Fortinet αποκάλυψε δημόσια το ενεργά αξιοποιημένο κρίσιμο σφάλμα FortiManager, το οποίο παρακολουθείται ως CVE-2024-47575 με βαθμολογία σοβαρότητας 9,8 στα 10.

“Ένας έλεγχος ταυτότητας που λείπει για ευπάθεια κρίσιμης λειτουργίας [CWE-306] στο FortiManager fgfmd δαίμονας μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί αυθαίρετο κώδικα ή εντολές μέσω ειδικά διαμορφωμένων αιτημάτων”, αναφέρει Συμβουλή ασφαλείας FG-IR-24-423 της Fortinet.

«Οι εκθέσεις έδειξαν ότι αυτή η ευπάθεια γίνεται αντικείμενο εκμετάλλευσης στη φύση».

Μια πηγή εξοικειωμένη με τις επιθέσεις είπε στο BleepingComputer ότι λείπουν ορισμένες κρίσιμες πληροφορίες για την εκμετάλλευση του σφάλματος: οι φορείς απειλών πρέπει πρώτα να εξαγάγουν ένα έγκυρο πιστοποιητικό από οποιαδήποτε ιδιόκτητη ή παραβιασμένη συσκευή Fortinet, συμπεριλαμβανομένου του FortiManager VM.

Το ελάττωμα επηρεάζει τις ακόλουθες εκδόσεις FortiManager:

Προς το παρόν, έχουν κυκλοφορήσει μόνο οι εκδόσεις FortiManager 7.2.8 και 7.4.5, αλλά η BleepingComputer έμαθε ότι οι υπόλοιπες θα κυκλοφορήσουν τις επόμενες ημέρες.

Η Fortinet δημιούργησε το “Πρωτόκολλο FortiGate στο FortiManager” (FGFM) για να επιτρέψει στις εταιρείες να αναπτύξουν εύκολα συσκευές τείχους προστασίας FortiGate και να τις βάλουν να εγγραφούν σε έναν απομακρυσμένο διακομιστή FortiManager, ώστε να είναι δυνατή η διαχείρισή τους από μια κεντρική τοποθεσία.

“Το πρωτόκολλο FortiGate to FortiManager (FGFM) έχει σχεδιαστεί για σενάρια ανάπτυξης FortiGate και FortiManager, ειδικά όπου χρησιμοποιείται NAT”, αναφέρει η τεκμηρίωση σχετικά με το πρωτόκολλο FGFM.

“Αυτά τα σενάρια περιλαμβάνουν το FortiManager στο δημόσιο Διαδίκτυο ενώ η μονάδα FortiGate βρίσκεται πίσω από το NAT, η μονάδα FortiGate είναι στο δημόσιο Διαδίκτυο ενώ το FortiManager είναι πίσω από το NAT ή και οι δύο μονάδες FortiManager και FortiGate έχουν διευθύνσεις IP με δυνατότητα δρομολόγησης.”

Ως ερευνητής κυβερνοασφάλειας επισημαίνει ο Kevin Beaumontδεν είναι δύσκολο για έναν εισβολέα να συνδέσει μια συσκευή FortiGate σε έναν εκτεθειμένο διακομιστή FortiManager, εφόσον έχει λάβει έγκυρο πιστοποιητικό.

Αυτό το πιστοποιητικό χρησιμοποιείται για τη ρύθμιση μιας σήραγγας SSL μεταξύ του FortiGate και του διακομιστή FortiManager για να έλεγχος ταυτότητας και των δύο συσκευών. Ωστόσο, μια πηγή που είναι εξοικειωμένη με την ευπάθεια είπε στο BleepingComputer ότι δεν βρίσκεται εδώ η ευπάθεια.

Αντίθετα, απαιτείται ένα επιπλέον επίπεδο εξουσιοδότησης για την εκτέλεση εντολών μέσω του FortiManager FGFM API, το οποίο μπορεί να παρακαμφθεί χρησιμοποιώντας το ελάττωμα CVE-2024-47575. Η παράκαμψη ελέγχου ταυτότητας στο API έχει διορθωθεί στις πιο πρόσφατες εκδόσεις του FortiManager.

Αυτό το API επιτρέπει στους εισβολείς να εκτελούν εντολές, να ανακτούν πληροφορίες και να έχουν τον πλήρη έλεγχο των διαχειριζόμενων συσκευών και το FortiManager να αποκτά περαιτέρω πρόσβαση στα εταιρικά δίκτυα.

«Επειδή οι MSP — Διαχειριζόμενοι πάροχοι υπηρεσιών — χρησιμοποιούν συχνά το FortiManager, μπορείτε να το χρησιμοποιήσετε για να εισέλθετε σε εσωτερικά δίκτυα κατάντη», προειδοποίησε ο Beaumont.

“Λόγω του τρόπου σχεδιασμού του FGFM – καταστάσεις διέλευσης NAT – σημαίνει επίσης ότι εάν αποκτήσετε πρόσβαση σε ένα διαχειριζόμενο τείχος προστασίας FortiGate, μπορείτε να μεταβείτε στη διαχειριστική συσκευή FortiManager… και στη συνέχεια να επιστρέψετε σε άλλα τείχη προστασίας και δίκτυα.”

Το Fortinet έχει προσφέρει διάφορους τρόπους για να μετριαστεί αυτή η επίθεση, εάν δεν είναι δυνατή η εγκατάσταση της πιο πρόσφατης ενημέρωσης υλικολογισμικού αυτήν τη στιγμή:

• Χρησιμοποιήστε την εντολή set fgfm-deny-unknown enable για να αποτρέψετε την εγγραφή συσκευών με άγνωστους σειριακούς αριθμούς στο FortiManager.
• Δημιουργία α προσαρμοσμένο πιστοποιητικό για χρήση κατά τη δημιουργία του τούνελ SSL και τον έλεγχο ταυτότητας συσκευών FortiGate με το FortiManager.

  Ωστόσο, η Fortinet προειδοποιεί ότι εάν ένας παράγοντας απειλής είναι σε θέση να αποκτήσει αυτό το πιστοποιητικό, τότε θα μπορούσε να χρησιμοποιηθεί για τη σύνδεση συσκευών FortiGate και την εκμετάλλευση του ελαττώματος.

• Δημιουργήστε μια επιτρεπόμενη λίστα διευθύνσεων IP για συσκευές FortiGate που επιτρέπεται να συνδέονται.

Οδηγίες σχετικά με τον τρόπο εκτέλεσης αυτών των μέτρων μετριασμού και επαναφοράς παραβιασμένων διακομιστών μπορείτε να βρείτε στη συμβουλή της Fortinet.

Εκμεταλλεύονται για την κλοπή δεδομένων

Η Fortinet λέει ότι οι επιθέσεις που παρατηρήθηκαν χρησιμοποιήθηκαν για την κλοπή διαφόρων αρχείων από τον διακομιστή FortiManager που «περιείχαν τις IP, τα διαπιστευτήρια και τις διαμορφώσεις των διαχειριζόμενων συσκευών».

Αυτές οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για να μάθετε και να στοχεύσετε συσκευές FortiGate για να αποκτήσετε αρχική πρόσβαση σε εταιρικά δίκτυα ή σε μεταγενέστερους πελάτες MSP.

Η εταιρεία επιβεβαιώνει επίσης ότι δεν υπάρχουν στοιχεία για κακόβουλο λογισμικό εγκατεστημένο σε παραβιασμένες υπηρεσίες FortiManager ή αλλαγές διαμόρφωσης σε διαχειριζόμενες συσκευές FortiGate.

«Σε αυτό το στάδιο, δεν έχουμε λάβει αναφορές για εγκατάσταση συστήματος χαμηλού επιπέδου κακόβουλου λογισμικού ή κερκόπορτων σε αυτά τα παραβιασμένα συστήματα FortiManager», αναφέρει η Fortinet στη συμβουλή ασφαλείας.

“Από όσο γνωρίζουμε, δεν υπάρχουν δείκτες τροποποιημένων βάσεων δεδομένων ή συνδέσεων και τροποποιήσεων στις διαχειριζόμενες συσκευές.”

Η Fortinet δεν έχει αποδώσει τις επιθέσεις σε κανέναν συγκεκριμένο παράγοντα απειλής και δεν μοιράζεται καμία πληροφορία σχετικά με τον αριθμό και το είδος των πελατών που επηρεάστηκαν λόγω της συνεχιζόμενης έρευνας.

Ωστόσο, το Fortinet μοιράστηκε τα ακόλουθα IOC για να βοηθήσει τους επαγγελματίες ασφαλείας και τους διαχειριστές δικτύου να εντοπίσουν εάν οι διακομιστές FortiManager τους παραβιάστηκαν χρησιμοποιώντας αυτήν την ευπάθεια.

Οι επιθέσεις που παρατηρήθηκαν δείχνουν ότι οι παράγοντες απειλών συνέδεσαν συσκευές FortiGate που ελέγχονται από τους εισβολείς με το όνομα “localhost”, το οποίο θα εμφανίζεται στην ενότητα Μη καταχωρημένες συσκευές στο Fortimanager.

Οι καταχωρίσεις στο αρχείο καταγραφής θα δείχνουν ότι οι φορείς απειλών εξέδωσαν εντολές API για να προσθέσουν αυτές τις μη καταχωρημένες συσκευές “localhost”:

type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"

Μια άλλη καταχώριση καταγραφής που κοινοποιήθηκε από το Fortinet χρησιμοποιήθηκε για την επεξεργασία των ρυθμίσεων της συσκευής:

type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"

Η Fortinet λέει ότι οι απατεώνες FortiGate εμφανίστηκαν χρησιμοποιώντας τον σειριακό αριθμό FMG-VMTM23017412, ο οποίος φαίνεται να είναι η μορφή που χρησιμοποιείται από Εικονικές μηχανές FortiGate-VM.

Άλλα ΔΟΕ περιλαμβάνουν τη δημιουργία των αρχείων /tmp/.tm και /var/tmp/.tm.

Στις επιθέσεις παρατηρήθηκαν οι ακόλουθες διευθύνσεις IP, όλες στην εταιρεία φιλοξενίας cloud, Vultr:

• 45.32.41.202
• 104.238.141.143 (Πρόσφατα εμφανίστηκε φιλοξενία SuperShell C2 υποδομή)
• 158.247.199.37
• 45.32.63.2

Το πλαίσιο SuperShell C2 χρησιμοποιήθηκε πρόσφατα στο επιθέσεις σε δρομολογητές F5 BIG-IP που αποδόθηκαν με μέτρια εμπιστοσύνη σε έναν κινεζικό (ΛΔΚ) παράγοντα απειλών γνωστό ως UNC5174.

Το Fortinet προειδοποιεί ότι ενδέχεται να μην υπάρχουν όλα τα IOC σε συσκευές που έχουν υποστεί εκμετάλλευση.

Ο Beaumont προειδοποιεί ότι α Αναζήτηση Shodan δείχνει ότι υπάρχουν 59.534 συσκευές FortiManager των οποίων οι θύρες FGFM (θύρα TCP 531) είναι εκτεθειμένες στο διαδίκτυο, με την πλειοψηφία στις ΗΠΑ.

Η ιδιωτική αποκάλυψη οδηγεί σε απογοήτευση

Η Fortinet μοιράστηκε την ακόλουθη δήλωση με την BleepingComputer σχετικά με το ελάττωμα CVE-2024-47575 και τον τρόπο με τον οποίο αποκαλύφθηκε στους πελάτες.

Ωστόσο, οι πελάτες του Fortinet έχουν εκφράσει απογοήτευση για τον τρόπο με τον οποίο αποκαλύφθηκε η ευπάθεια, με ορισμένους πελάτες του FortiManager να μην λαμβάνουν την εκ των προτέρων ειδοποίηση και να πρέπει να βασίζονται σε πληροφορίες που διέρρευσαν για να μάθουν για την ευπάθεια zero-day.

“Πώς μπορώ να μπω στη λίστα email ιδιωτικής αποκάλυψης; Έχω το 7.2.7 και δεν το άκουσα”, σχολίασε ένας πελάτης του FortiManager Reddit.

Το BleepingComputer ενημερώθηκε ότι όλοι οι πελάτες του FortiManager θα έπρεπε να έχουν λάβει αυτήν την ειδοποίηση στον λογαριασμό τους “Master”. Εάν δεν το έκαναν, θα πρέπει να επικοινωνήσουν με τη Fortinet ή τον μεταπωλητή τους για να επιβεβαιώσουν ότι έχουν τα σωστά στοιχεία επικοινωνίας.

Άλλοι ήταν απογοητευμένοι που η ιδιωτική συμβουλευτική δεν κατέγραψε το FortiManager Cloud ως επηρεασμένο από το zero-day, ωστόσο όταν κάλεσαν το Fortinet TAC, τους είπαν ότι επηρεάστηκε.

Αυτό το ελάττωμα δεν είναι η πρώτη φορά που η Fortinet αποφάσισε να επιδιορθώσει αθόρυβα μια κρίσιμη ευπάθεια ή να την αποκαλύψει ιδιωτικά στους πελάτες.

Τον Δεκέμβριο του 2022, η Fortinet επιδιορθώνει αθόρυβα μια ευπάθεια FortiOS SSL-VPN που εκμεταλλεύτηκε ενεργά, η οποία εντοπίστηκε ως CVE-2022-42475 χωρίς να δηλώσει δημόσια ότι το ελάττωμα χρησιμοποιήθηκε σε επιθέσεις. Όπως αυτό το ελάττωμα του FortiManager, η Fortinet εξέδωσε μια ιδιωτική συμβουλή TLP:Amber προς τους πελάτες στις 7 Δεκεμβρίου, ειδοποιώντας τους πελάτες για το σφάλμα.

Τον Ιούνιο του 2023, η Fortinet επιδιορθώνει ξανά αθόρυβα μια κρίσιμη ευπάθεια εκτέλεσης κωδικού απομακρυσμένου κώδικα FortiGate SSL-VPN που παρακολουθείται ως CVE-2023-27997 στις 8 Ιουνίου. Τέσσερις ημέρες αργότερα, στις 11 Ιουνίου, η εταιρεία αποκάλυψε ότι το ελάττωμα είχε χρησιμοποιηθεί σε μηδενική ημέρα επιθέσεις κατά της κυβέρνησης, της βιομηχανικής παραγωγής και των ζωτικών υποδομών.

Κάποιοι έχουν επισημάνει την έλλειψη διαφάνειας της Fortinet, υπενθυμίζοντας ένα Ανάρτηση Οκτωβρίου 2023 από το Fortinet που ανέφερε, “η κοινότητα ασφαλείας πρέπει να ομαλοποιήσει τη διαφάνεια και την ανταλλαγή πληροφοριών για τους οργανισμούς ώστε να προωθήσουν συλλογικά τον αγώνα τους εναντίον των αντιπάλων”.

Ενημέρωση 23/10/24: Ενημερώθηκαν οι επηρεαζόμενες εκδόσεις και προστέθηκαν περαιτέρω πληροφορίες σχετικά με την ευπάθεια.