[ad_1]
Ένα νέο ελάττωμα του Fortinet FortiManager που ονομάζεται “FortiJump” και παρακολουθείται ως CVE-2024-47575 έχει γίνει αντικείμενο εκμετάλλευσης από τον Ιούνιο του 2024 σε επιθέσεις zero-day σε περισσότερους από 50 διακομιστές, σύμφωνα με μια νέα έκθεση της Mandiant.
Τις τελευταίες δέκα ημέρες, οι φήμες για μια ενεργή εκμετάλλευση του FortiManager zero-day κυκλοφορούν στο διαδίκτυο αφού η Fortinet ειδοποίησε ιδιωτικά τους πελάτες σε μια προηγμένη συμβουλή ασφαλείας ειδοποιήσεων.
Σήμερα, η Fortinet αποκάλυψε τελικά την ευπάθεια του FortiManager, δηλώνοντας ότι ήταν ένα ελάττωμα ελέγχου ταυτότητας που έλειπε στο Fortinet που δημιούργησε το “Πρωτόκολλο FortiGate στο FortiManager” (FGFM) API που επέτρεπε σε μη επαληθευμένους εισβολείς να εκτελούν εντολές στον διακομιστή και διαχειριζόμενες συσκευές FortiGate.
Οι φορείς απειλών θα μπορούσαν να εκμεταλλευτούν το ελάττωμα χρησιμοποιώντας συσκευές FortiManager και FortiGate που ελέγχονται από εισβολείς με έγκυρα πιστοποιητικά για να εγγραφούν σε οποιονδήποτε εκτεθειμένο διακομιστή FortiManager.
Μόλις συνδεθεί η συσκευή τους, ακόμα κι αν ήταν σε μη εξουσιοδοτημένη κατάσταση, θα μπορούσαν να εκμεταλλευτούν το ελάττωμα για να εκτελέσουν εντολές API στο FortiManager και να κλέψουν δεδομένα διαμόρφωσης σχετικά με τις διαχειριζόμενες συσκευές.
Το Fortinet κυκλοφόρησε ενημερώσεις κώδικα για το CVE-2024-47575 και πρόσφερε μετριασμούς, όπως η δυνατότητα σύνδεσης μόνο συγκεκριμένων διευθύνσεων IP ή η αποτροπή εγγραφής άγνωστων συσκευών FortiGate χρησιμοποιώντας το set fgfm-deny-unknown enable εντολή.
Χρησιμοποιείται ως μηδενική ημέρα από τον Ιούνιο
Απόψε, η Mandiant αναφέρει ότι ένας παράγοντας απειλής που παρακολουθείται ως UNC5820 εκμεταλλεύεται συσκευές FortiManager ήδη από τις 27 Ιουνίου 2024.
“Το UNC5820 σκηνοθέτησε και εξήγαγε τα δεδομένα διαμόρφωσης των συσκευών FortiGate που διαχειρίζεται ο υπό εκμετάλλευση FortiManager”, αναφέρει το νέα έκθεση από το Mandiant.
“Αυτά τα δεδομένα περιέχουν λεπτομερείς πληροφορίες διαμόρφωσης των διαχειριζόμενων συσκευών, καθώς και των χρηστών και των κατακερματισμένων κωδικών πρόσβασης FortiOS256.”
“Αυτά τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν από το UNC5820 για να υπονομεύσει περαιτέρω το FortiManager, να μετακινηθούν πλευρικά στις διαχειριζόμενες συσκευές Fortinet και να στοχεύσουν τελικά το εταιρικό περιβάλλον.”
Η πρώτη επίθεση που παρατηρήθηκε εμφανίστηκε από τις 45.32.41[.]202, όταν οι φορείς απειλής κατέγραψαν ένα μη εξουσιοδοτημένο FortiManager-VM σε έναν εκτεθειμένο διακομιστή FortiManager.
Αυτή η συσκευή καταχωρήθηκε με το όνομα “localhost” και χρησιμοποίησε τον σειριακό αριθμό “FMG-VMTM23017412”, όπως φαίνεται παρακάτω.
Πηγή: Mandiant
Ως μέρος της επίθεσης, ο Mandiant λέει ότι δημιουργήθηκαν τέσσερα αρχεία:
- /tmp/.tm – Ένα αρχείο gzip που περιέχει πληροφορίες για τις διαχειριζόμενες συσκευές FortiGate, πληροφορίες για τον διακομιστή FortiManager και την παγκόσμια βάση δεδομένων του.
- /fds/data/unreg_devices.txt – Περιέχει τον σειριακό αριθμό και τη διεύθυνση IP της μη καταχωρημένης συσκευής.
- /fds/data/subs.dat.tmp – Άγνωστο
- /fds/data/subs.dat – Αυτό το αρχείο περιείχε τον σειριακό αριθμό της συσκευής που ελέγχεται από τον εισβολέα, το αναγνωριστικό χρήστη, το όνομα της εταιρείας και μια διεύθυνση email.
Στην πρώτη επίθεση που παρατηρήθηκε, η διεύθυνση email ήταν “[email protected]” και το όνομα της εταιρείας ήταν “Purity Supreme”.
Η Mandiant λέει ότι ανέλυσαν τη μνήμη για μια παραβιασμένη συσκευή, αλλά δεν βρήκαν σημάδια κακόβουλου ωφέλιμου φορτίου ή παραβίασης αρχείων συστήματος.
Ενώ οι επιτιθέμενοι διέφυγαν δεδομένα από συσκευές, η Mandiant λέει ότι δεν υπάρχουν ενδείξεις ότι το UNC5820 χρησιμοποίησε αυτές τις ευαίσθητες πληροφορίες για να διαδοθεί πλευρικά στις διαχειριζόμενες συσκευές FortiGate ή στα δίκτυα παραβίασης.
Σε αυτό το σημείο, τα κλεμμένα δεδομένα μπορεί να μην είναι τόσο πολύτιμα για τους εισβολείς, καθώς η Mandiant και η Fortinet ειδοποίησαν τους πελάτες για τις επιθέσεις. Ας ελπίσουμε ότι οι πελάτες τροποποίησαν τα διαπιστευτήριά τους και έλαβαν άλλες προφυλάξεις.
Καθώς δεν υπήρξε δραστηριότητα παρακολούθησης μετά τις αρχικές επιθέσεις, η Mandiant δεν μπόρεσε να προσδιορίσει τον στόχο του δράστη απειλής και πού μπορεί να βρίσκονται.
“Ως αποτέλεσμα, τη στιγμή της δημοσίευσης, δεν έχουμε επαρκή δεδομένα για να αξιολογήσουμε τα κίνητρα ή την τοποθεσία των ηθοποιών. Καθώς διατίθενται πρόσθετες πληροφορίες μέσω των ερευνών μας, η Mandiant θα ενημερώσει την αξιολόγηση απόδοσης αυτού του ιστολογίου”, εξήγησε η Mandiant.
Το Fortinet μοιράστηκε πρόσθετες πληροφορίες στο inn του συμβουλευτική CVE-2024-47575 (FG-IR-24-423)συμπεριλαμβανομένων των μεθόδων μετριασμού και ανάκτησης. Η συμβουλή περιλαμβάνει επίσης πρόσθετα ΔΟΕ, συμπεριλαμβανομένων άλλων διευθύνσεων IP που χρησιμοποιούνται από τους εισβολείς και καταχωρήσεις καταγραφής για τον εντοπισμό ενός παραβιασμένου διακομιστή FortiManager.
[ad_1]
VIA: bleepingcomputer.com
[ad_2]
