История одной уязвимости от приватных писем к официальному раскрытию.
Fortinet опубликовала информацию о новой уязвимости FortiManager, получившей название «FortiJump». Согласно отчёту Mandiant, уязвимость активно использовалась в zero-day атаках с июня 2024 года, что привело к компрометации более 50 серверов.
Ранее в интернете распространялись слухи о наличии уязвимости FortiManager, после того как Fortinet разослала уведомления своим клиентам в частном порядке. Сегодня компания подтвердила наличие проблемы, указав, что она связана с отсутствием аутентификации в API «FortiGate to FortiManager Protocol» (FGFM).
Злоумышленники могли воспользоваться уязвимостью, регистрируя свои устройства FortiManager и FortiGate на уязвимых серверах, используя поддельные сертификаты. Подключившись к серверу, даже если устройство не было авторизовано, атакующие получали возможность выполнять команды API и похищать данные конфигураций управляемых устройств.
Fortinet выпустила обновления для устранения уязвимости CVE-2024-47575 (оценка CVSS: 9.8) и предложила меры для предотвращения эксплуатации, такие как ограничение доступа по IP-адресам и использование команды для блокировки неизвестных устройств.
С июня 2024 года уязвимость использовалась хакерской группировкой UNC5820, которая скомпрометировала устройства FortiManager и похитила конфигурационные данные управляемых устройств FortiGate, включая пароли пользователей, зашифрованные алгоритмом FortiOS256. Украденные данные могли бы быть использованы для дальнейшей компрометации FortiManager и других устройств в корпоративной сети.
В первом зафиксированном нападении киберпреступники зарегистрировали неавторизованное виртуальное устройство FortiManager. В процессе атаки были созданы несколько файлов, содержащих данные о сервере FortiManager и управляемых устройствах, а также архив с информацией об устройствах FortiGate и данные об устройстве хакеров, включая серийный номер и электронную почту.
Несмотря на кражу данных, Mandiant пока не нашла доказательств использования данных для дальнейшего проникновения в сети или устройства FortiGate. Специалисты предполагают, что информация уже может быть неактуальной, так как клиенты Fortinet, скорее всего, изменили свои учётные данные и приняли дополнительные меры безопасности.
Mandiant продолжает расследование, однако пока не смогла установить мотивы атак и местоположение хакеров. В дальнейшем, по мере появления новой информации, специалисты обновят свои выводы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках