Zero-Day no FortiManager

24 de Outubro de 2024

Uma nova falha no Fortinet FortiManager, apelidada de "FortiJump" e rastreada como CVE-2024-47575 , tem sido explorada desde junho de 2024 em ataques zero-day em mais de 50 servidores, segundo um novo relatório da Mandiant.

Nos últimos dez dias, rumores sobre a exploração ativa de um zero-day no FortiManager têm circulado online, após a Fortinet notificar privadamente os clientes através de um aviso de segurança de notificação avançada.

Hoje, a Fortinet finalmente divulgou a vulnerabilidade do FortiManager, afirmando que era uma falha de autenticação ausente na API "FortiGate to FortiManager Protocol" (FGFM) criada pela Fortinet, que permitia a atacantes não autenticados executar comandos no servidor e em dispositivos FortiGate gerenciados.

Os atores de ameaça poderiam explorar a falha utilizando dispositivos FortiManager e FortiGate controlados pelo atacante com certificados válidos para se registrarem em qualquer servidor FortiManager exposto.

Uma vez que seu dispositivo estivesse conectado, mesmo que em um estado não autorizado, eles poderiam explorar a falha para executar comandos da API no FortiManager e roubar dados de configuração sobre os dispositivos gerenciados.

A Fortinet lançou patches para a CVE-2024-47575 e ofereceu medidas de mitigação, como permitir apenas que endereços IP específicos se conectem ou evitar que dispositivos FortiGate desconhecidos se registrem usando o comando set fgfm-deny-unknown enable.

Esta noite, a Mandiant reporta que um ator de ameaça rastreado como UNC5820 vem explorando dispositivos FortiManager desde pelo menos 27 de junho de 2024.

"A UNC5820 organizou e exfiltrou os dados de configuração dos dispositivos FortiGate gerenciados pelo FortiManager explorado," lê-se no novo relatório da Mandiant.

Esses dados contêm informações detalhadas de configuração dos aparelhos gerenciados, bem como dos usuários e suas senhas hasheadas com FortiOS256.

Esses dados podem ser usados pela UNC5820 para comprometer ainda mais o FortiManager, mover-se lateralmente para os dispositivos Fortinet gerenciados e, finalmente, mirar no ambiente empresarial.

O primeiro ataque observado teve origem de 45.32.41[.]202, quando os atores de ameaça registraram um FortiManager-VM não autorizado em um servidor FortiManager exposto.

Esse dispositivo foi listado com o nome "localhost" e utilizou um número de série "FMG-VMTM23017412," conforme mostrado abaixo.

Como parte do ataque, a Mandiant diz que quatro arquivos foram criados:

/tmp/.tm - Um arquivo gzip contendo informações exfiltradas sobre os dispositivos FortiGate gerenciados, informações sobre o servidor FortiManager e seu banco de dados global.
/fds/data/unreg_devices.txt - Contém o número de série e o endereço IP do dispositivo não registrado.
/fds/data/subs.dat.tmp - Desconhecido
/fds/data/subs.dat - Este arquivo continha o número de série do dispositivo controlado pelo atacante, ID do usuário, nome da empresa e um endereço de e-mail.

No primeiro ataque observado, o endereço de e-mail era "[email protected]," e o nome da empresa era "Purity Supreme."

A Mandiant diz que analisou a memória de um dispositivo comprometido, mas não encontrou sinais de payloads maliciosas ou adulteração de arquivos do sistema.

Embora os atacantes tenham exfiltrado dados dos dispositivos, a Mandiant diz que não há sinais de que a UNC5820 tenha utilizado essas informações sensíveis para se espalhar lateralmente para os dispositivos FortiGate gerenciados ou invadir redes.

Neste ponto, os dados roubados podem não ser tão valiosos para os atacantes, já que a Mandiant e a Fortinet notificaram os clientes dos ataques.

Espera-se que os clientes tenham modificado suas credenciais e tomado outras precauções.

Como não houve atividade subsequente após os ataques iniciais, a Mandiant não conseguiu determinar o objetivo do ator de ameaça ou sua localização.

Como resultado, no momento da publicação, nos falta dados suficientes para avaliar a motivação ou localização do ator.

Conforme mais informações se tornarem disponíveis através de nossas investigações, a Mandiant atualizará a avaliação de atribuição neste blog," explicou a Mandiant.

A Fortinet compartilhou informações adicionais em seu aviso CVE-2024-47575 (FG-IR-24-423), incluindo métodos de mitigação e recuperação.

O aviso também inclui IOCs adicionais, incluindo outros endereços IP usados pelos atacantes e entradas de log para detecção de um servidor FortiManager comprometido.

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...