Une nouvelle faille Fortinet FortiManager baptisée « FortiJump » et suivie sous le nom de CVE-2024-47575 est exploitée depuis juin 2024 dans des attaques zero-day sur plus de 50 serveurs, selon un nouveau rapport de Mandiant.
Au cours des dix derniers jours, des rumeurs d’un FortiManager zero-day activement exploité ont circulé en ligne après que Fortinet a informé en privé les clients dans un avis de sécurité de notification avancée.
Aujourd’hui, Fortinet a finalement divulgué la vulnérabilité de FortiManager, déclarant qu’il s’agissait d’une faille d’authentification manquante dans l’API « FortiGate to FortiManager Protocol » (FGFM) créée par Fortinet qui permettait aux attaquants non authentifiés d’exécuter des commandes sur le serveur et de gérer les périphériques FortiGate.
Les acteurs de la menace pourraient exploiter la faille en utilisant FortiManager contrôlé par l’attaquant et FortiGate appareils avec des certificats valides pour s’enregistrer sur n’importe quel serveur FortiManager exposé.
Une fois leur appareil connecté, même s’il était dans un état non autorisé, ils pouvaient exploiter la faille pour exécuter des commandes API sur le FortiManager et voler des données de configuration sur les appareils gérés.
Fortinet a publié des correctifs pour le CVE-2024-47575 et a proposé des atténuations, telles que l’autorisation de se connecter uniquement à des adresses IP spécifiques ou l’interdiction de l’enregistrement des périphériques FortiGate inconnus à l’aide de la commande set fgfm-deny-unknown enable.
Exploité comme un jour zéro depuis juin
Ce soir, Mandiant rapporte qu’un acteur de la menace suivi comme UNC5820 exploite des appareils FortiManager depuis le 27 juin 2024.
« UNC5820 a mis en scène et exfiltré les données de configuration des appareils FortiGate gérés par le FortiManager exploité », lit-on dans le nouveau rapport de Mandiant.
« Ces données contiennent des informations de configuration détaillées sur les appliances gérées ainsi que sur les utilisateurs et leurs mots de passe hachés FortiOS256. »
« Ces données pourraient être utilisées par UNC5820 pour compromettre davantage le FortiManager, se déplacer latéralement vers les appareils Fortinet gérés et, à terme, cibler l’environnement de l’entreprise. »
La première attaque observée a été vue venant du 45.32.41[.]202, lorsque les acteurs de la menace ont enregistré une FortiManager-VM non autorisée sur un serveur FortiManager exposé.
Ce périphérique était répertorié avec le nom « localhost » et utilisait un numéro de série de « FMG-VMTM23017412 », comme indiqué ci-dessous.
Dans le cadre de l’attaque, Mandiant dit que quatre fichiers ont été créés:
- /tmp/. tm – Une archive gzip contenant des informations exfiltrées sur les périphériques FortiGate gérés, des informations sur le serveur FortiManager et sa base de données globale.
- /fds/données / désactiver_dispositifs.txt-Contient le numéro de série et l’adresse IP du périphérique non enregistré.
- /fds / données / sous-marins.date.tmp-Inconnu
- /fds / données / sous-marins.dat – Ce fichier contenait le numéro de série, l’ID utilisateur, le nom de l’entreprise et une adresse e-mail de l’appareil contrôlé par l’attaquant.
Lors de la première attaque observée, l’adresse e-mail était « [email protected], « et le nom de l’entreprise était » Purity Supreme. »
Mandiant dit qu’ils ont analysé la mémoire pour un périphérique compromis, mais n’ont trouvé aucun signe de charges utiles malveillantes ou de falsification des fichiers système.
Alors que les attaquants ont exfiltré les données des appareils, Mandiant affirme qu’il n’y a eu aucun signe que l’UNC5820 ait utilisé ces informations sensibles pour se propager latéralement aux appareils FortiGate gérés ou aux réseaux de violation.
À ce stade, les données volées peuvent ne pas avoir autant de valeur pour les attaquants, car Mandiant et Fortinet ont informé les clients des attaques. Espérons que les clients ont modifié leurs informations d’identification et pris d’autres précautions.
Comme il n’y a eu aucune activité de suivi après les attaques initiales, Mandiant n’a pas été en mesure de déterminer l’objectif de l’auteur de la menace et où il pourrait se trouver.
« Par conséquent, au moment de la publication, nous manquions de données suffisantes pour évaluer la motivation ou la localisation des acteurs. Au fur et à mesure que des informations supplémentaires seront disponibles grâce à nos enquêtes, Mandiant mettra à jour l’évaluation de l’attribution de ce blog », a expliqué Mandiant.
Fortinet a partagé des informations supplémentaires dans son avis CVE-2024-47575 (FG-IR-24-423), y compris les méthodes d’atténuation et de récupération. L’avis inclut également des IOC supplémentaires, y compris d’autres adresses IP utilisées par les attaquants et des entrées de journal pour détecter un serveur FortiManager compromis.