Fortinet a révélé publiquement aujourd’hui une vulnérabilité critique de l’API FortiManager, identifiée sous le numéro CVE-2024-47575, qui a été exploitée lors d’attaques zero-day pour voler des fichiers sensibles contenant des configurations, des adresses IP et des informations d’identification pour les périphériques gérés.
La société a averti en privé les clients de FortiManager de la faille à partir du 13 octobre dans les e-mails de notification avancés vus par Breachtrace qui contenaient des étapes pour atténuer la faille jusqu’à la publication d’une mise à jour de sécurité.
Cependant, la nouvelle de la vulnérabilité a commencé à fuiter en ligne tout au long de la semaine par des clients sur Reddit et par le chercheur en cybersécurité Kevin Beaumont sur Mastodon, qui appelle cette faille « FortiJump. »
Les administrateurs d’appareils Fortinet ont également partagé que cette faille était exploitée depuis un certain temps, un rapport client ayant été attaqué des semaines avant l’envoi des notifications aux clients.
« Nous avons été violés sur celui-ci des semaines avant qu’il n’atteigne les « notifications anticipées » – 0 jour je suppose », lit-on dans un commentaire maintenant supprimé sur Reddit.
Divulgation du jour zéro de FortiManager
Aujourd’hui, Fortinet a divulgué publiquement la faille critique FortiManager activement exploitée, suivie sous la référence CVE-2024-47575 avec une gravité évaluée à 9,8 sur 10.
« Une authentification manquante pour une vulnérabilité de fonction critique [CWE-306] dans le démon FortiManager fgfmd peut permettre à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues », lit l’avis de sécurité FG-IR-24-423 de Fortinet.
« Des rapports ont montré que cette vulnérabilité était exploitée à l’état sauvage. »
Une source familière avec les attaques a déclaré à Breachtrace qu’il manquait certaines informations critiques dans l’avis pour exploiter le bogue: les acteurs de la menace doivent d’abord extraire un certificat valide de tous les périphériques Fortinet possédés ou compromis, y compris la machine virtuelle FortiManager.
La faille impacte les versions de FortiManager 7.6.0, 7.4.0 – 7.4.4 7.2.0 – 7.2.7, 7.0.0 – 7.0.12, 6.4.0 – 6.4.14, et 6.2.0 à 6.2.12. La faille est corrigée dans FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15, et 6.2.13 ou plus récent.
Pour le moment, seules les versions 7.2.8 et 7.4.5 de FortiManager ont été publiées, mais Breachtrace a appris que le reste serait publié dans les prochains jours.
Les clients ont également signalé sur Reddit que le centre d’assistance technique (TAC) de Fortinet avait déclaré que la faille avait également un impact sur FortiManager Cloud (FMG Cloud), bien que cela ne soit pas partagé dans l’avis.
Fortinet a créé le « protocole FortiGate vers FortiManager » (FGFM) pour permettre aux entreprises de déployer facilement des dispositifs de pare-feu FortiGate et de les enregistrer auprès d’un serveur FortiManager distant afin qu’ils puissent être gérés à partir d’un emplacement central.
« Le protocole FortiGate vers FortiManager (FGFM) est conçu pour les scénarios de déploiement FortiGate et FortiManager, en particulier lorsque NAT est utilisé », lit la documentation sur le protocole FGFM.
« Ces scénarios incluent le FortiManager sur Internet public alors que l’unité FortiGate est derrière NAT, l’unité FortiGate est sur Internet public alors que FortiManager est derrière NAT, ou les deux FortiManager et FortiGate ont des adresses IP routables. »
Comme le souligne Kevin Beaumont, chercheur en cybersécurité, il n’est pas difficile pour un attaquant d’enregistrer un périphérique FortiGate sur un serveur FortiManager exposé tant qu’il a obtenu un certificat valide.
Ce certificat est utilisé pour mettre en place un tunnel SSL entre le serveur FortiGate et le serveur FortiManager pour authentifier les deux appareils. Cependant, une source familière avec la vulnérabilité a déclaré à Breachtrace que ce n’est pas là que réside la vulnérabilité.
Au lieu de cela, un niveau d’autorisation supplémentaire est requis pour exécuter des commandes via l’API FortiManager FGFM, qui peut être contournée à l’aide de la faille CVE-2024-47575.
Cette API permet aux attaquants d’exécuter des commandes, de récupérer des informations et de prendre le contrôle total des périphériques gérés et de FortiManager pour accéder davantage aux réseaux d’entreprise.
« Parce que les MSP-les fournisseurs de services gérés-utilisent souvent FortiManager, vous pouvez l’utiliser pour entrer dans les réseaux internes en aval », a averti Beaumont.
« En raison de la façon dont FGFM est conçu-des situations de traversée NAT — cela signifie également que si vous accédez à un pare-feu FortiGate géré, vous pouvez ensuite accéder au périphérique de gestion FortiManager… puis revenir à d’autres pare-feu et réseaux. »
Fortinet a proposé différentes manières d’atténuer cette attaque s’il n’est pas possible d’installer la dernière mise à jour du micrologiciel pour le moment:
- Utilisez la commande set ffm-deny-unknown enable pour empêcher les périphériques avec des numéros de série inconnus de s’enregistrer auprès de FortiManager.
- Créez un certificat personnalisé à utiliser lors de la création du tunnel SSL et de l’authentification des appareils FortiGate avec FortiManager.
- Cependant, Fortinet prévient que si un acteur de la menace est en mesure d’obtenir ce certificat, il pourrait toujours être utilisé pour connecter des périphériques FortiGate et exploiter la faille.
- Créez une liste autorisée d’adresses IP pour les périphériques FortiGate autorisés à se connecter.
- Vous trouverez des instructions sur la manière d’effectuer ces mesures d’atténuation et de restaurer les serveurs compromis dans l’avis de Fortinet.
Exploité pour voler des données
Fortinet affirme que les attaques observées ont été utilisées pour voler divers fichiers du serveur FortiManager qui « contenaient les adresses IP, les informations d’identification et les configurations des périphériques gérés. »
Ces informations volées peuvent être utilisées pour connaître et cibler les appareils FortiGate afin d’obtenir un accès initial aux réseaux d’entreprise ou aux clients en aval des MSP.
La société confirme également qu’il n’y a aucune preuve d’installation de logiciels malveillants sur les services FortiManager compromis ou de modifications de configuration des périphériques FortiGate gérés.
« À ce stade, nous n’avons reçu aucun rapport d’installations système de bas niveau de logiciels malveillants ou de portes dérobées sur ces systèmes FortiManager compromis », indique Fortinet dans l’avis de sécurité.
« À notre connaissance, il n’y a eu aucun indicateur de bases de données modifiées, ni de connexions et de modifications des périphériques gérés. »
Fortinet n’a attribué les attaques à aucun acteur menaçant en particulier et ne partage aucune information sur le nombre et le type de clients qui ont été touchés en raison de l’enquête en cours.
Cependant, Fortinet a partagé les IOC suivants pour aider les professionnels de la sécurité et les administrateurs réseau à détecter si leurs serveurs FortiManager ont été violés à l’aide de cette vulnérabilité.
Les attaques observées montrent que les auteurs de la menace enregistrent les périphériques FortiGate contrôlés par l’attaquant sous le nom « localhost ».
Les entrées du journal indiqueront que les auteurs de la menace ont émis des commandes API pour ajouter ces périphériques « localhost » non enregistrés:
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
Une autre entrée de journal partagée par Fortinet a été utilisée pour modifier les paramètres de l’appareil:
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
fortinet indique que des périphériques FortiGate malveillants ont été vus en utilisant le numéro de série FMG-VMTM23017412, qui semble être le format utilisé par les machines virtuelles FortiGate-VM.
D’autres IOC incluent la création des fichiers /tmp/. tm et /var / tmp/. tm.
Les adresses IP suivantes ont été observées dans les attaques, toutes situées chez la société d’hébergement cloud, Vultr:
- 45.32.41.202
- 104.238.141.143 (Récemment vu héberger l’infrastructure SuperShell C2)
- 158.247.199.37
- 45.32.63.2
Le framework SuperShell C2 a récemment été utilisé dans des attaques sur des routeurs F5 BIG-IP qui ont été attribuées avec une confiance modérée à un acteur menaçant chinois (RPC) connu sous le nom de UNC5174.
Fortinet avertit que tous les IOC peuvent ne pas être présents sur les appareils exploités.
La divulgation privée mène à la frustration
Fortinet a partagé la déclaration suivante avec Breachtrace à propos de la faille CVE-2024-47575 et de la manière dont elle a été divulguée aux clients.
« Après avoir identifié cette vulnérabilité (CVE-2024-47575), Fortinet a rapidement communiqué des informations et des ressources critiques aux clients. Ceci est conforme à nos processus et meilleures pratiques en matière de divulgation responsable afin de permettre aux clients de renforcer leur posture de sécurité avant qu’un avis ne soit rendu public à un public plus large, y compris les acteurs de la menace. Nous avons également publié un avis public correspondant (FG-IR-24-423) réitérant les directives d’atténuation, y compris une solution de contournement et des mises à jour de correctifs. Nous exhortons les clients à suivre les conseils fournis pour mettre en œuvre les solutions de contournement et les correctifs et à continuer de suivre notre page d’avis pour les mises à jour. Nous continuons de nous coordonner avec les agences gouvernementales internationales appropriées et les organisations de menaces de l’industrie dans le cadre de notre réponse continue. »
❖ Fortinet.
Cependant, les clients de Fortinet ont exprimé leur frustration quant à la manière dont la vulnérabilité a été divulguée, certains clients de FortiManager n’ayant pas reçu l’avis préalable et devant s’appuyer sur des informations divulguées pour découvrir la vulnérabilité zero-day.
« Comment puis-je m’inscrire sur la liste de diffusion des divulgations privées? J’ai 7.2.7 et je n’en ai pas entendu parler », a commenté un client de FortiManager sur Reddit.
Breachtrace a été informé que tous les clients de FortiManager auraient dû recevoir cette notification sur leur compte « maître ». S’ils ne l’ont pas fait, ils doivent contacter Fortinet ou leur revendeur pour confirmer qu’ils disposent des informations de contact correctes.
D’autres étaient frustrés que l’avis privé ne répertorie pas FortiManager Cloud comme impacté par le jour zéro, mais lorsqu’ils ont appelé le TAC de Fortinet, on leur a dit qu’il était impacté.
Ce n’est pas la première fois que Fortinet décide de corriger discrètement une vulnérabilité critique ou de la divulguer en privé à ses clients.
En décembre 2022, Fortinet a discrètement corrigé une vulnérabilité FortiOS SSL-VPN activement exploitée sous la référence CVE-2022-42475 sans déclarer publiquement que la faille était utilisée dans des attaques. À l’instar de cette faille FortiManager, Fortinet a émis un avis privé TLP: Amber aux clients le 7 décembre, alertant les clients du bogue.
En juin 2023, Fortinet a de nouveau corrigé discrètement une vulnérabilité critique d’exécution de code à distance FortiGate SSL-VPN identifiée comme CVE-2023-27997 le 8 juin. Quatre jours plus tard, le 11 juin, la société a révélé que la faille avait été utilisée dans des attaques zero-day contre le gouvernement, la fabrication et les infrastructures critiques.
Certains ont dénoncé le manque de transparence de Fortinet, rappelant un article d’octobre 2023 de Fortinet qui déclarait: « la communauté de la sécurité doit normaliser la transparence et le partage d’informations pour que les organisations puissent collectivement faire progresser leur lutte contre les adversaires. »