Fortinet potwierdził informacje o krytycznej luce w zabezpieczeniach FortiManager, która stała się obiektem aktywnego wykorzystywania przez cyberprzestępców. Zidentyfikowana jako CVE-2024-47575 (z oceną CVSS: 9.8), luka, nazywana również FortiJump, wywodzi się z protokołu FGFM (FortiGate to FortiManager). Problem dotyczy braku uwierzytelniania niezbędnego do wykonania kluczowych funkcji, co umożliwia nieautoryzowanym atakującym zdalne wykonanie dowolnego kodu lub poleceń przy użyciu odpowiednio spreparowanych żądań.
Zagrożenie dla wersji FortiManager i FortiAnalyzer
Luka dotyczy wielu wersji FortiManager, w tym 7.x i 6.x, a także FortiManager Cloud w tych samych wersjach. Dotyczy również starszych modeli FortiAnalyzer, takich jak 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, aż po 3900E, które mają aktywowane usługi FGFM oraz konfigurację z aktywnym poleceniem:
bash
config system global
set fmg-status enable
end
Istnienie tej luki może stanowić poważne zagrożenie dla systemów zabezpieczających sieci przedsiębiorstw, dlatego konieczne jest podjęcie natychmiastowych działań naprawczych. W tym celu Fortinet zaleca trzy różne metody zabezpieczenia, w zależności od posiadanej wersji FortiManager:
1. FortiManager wersje 7.0.12 lub wyższe, 7.2.5 lub wyższe, 7.4.3 lub wyższe: Zablokowanie możliwości rejestracji dla nieznanych urządzeń.
2. FortiManager wersje 7.2.0 i wyższe: Dodanie polityk lokalnych (local-in policies), które pozwalają na białą listę adresów IP FortiGate, które mogą się połączyć.
3. FortiManager wersje 7.2.2 i wyższe, 7.4.0 i wyższe, 7.6.0 i wyższe: Używanie niestandardowego certyfikatu.
Jak zabezpieczyć się przed atakiem?
Firma runZero wskazała, że skuteczna eksploatacja tej luki wymaga posiadania ważnego certyfikatu urządzenia Fortinet, co oznacza, że atakujący muszą uzyskać taki certyfikat z istniejącego urządzenia Fortinet i ponownie go użyć. To dodatkowo zwiększa ryzyko w przypadku, gdy certyfikaty zostaną skradzione lub w niewłaściwy sposób udostępnione.
Automatyzacja ataków i skutki uboczne
Według Fortinet, cyberprzestępcy wykorzystują skrypty do automatyzacji procesu eksfiltracji różnych plików z FortiManager, w tym adresów IP, danych uwierzytelniających i konfiguracji zarządzanych urządzeń. Pomimo tego, firma zaznacza, że nie odnotowano przypadków wykorzystania luki do wdrażania złośliwego oprogramowania lub backdoorów na zainfekowanych systemach FortiManager. Ponadto nie ma dowodów na modyfikację baz danych ani połączeń, co jest nieco uspokajającą informacją.
Reakcja agencji CISA
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) natychmiast zareagowała na tę sytuację, dodając lukę do swojego katalogu Znanych Wykorzystywanych Luk (KEV). Federalne instytucje w USA zostały zobowiązane do naprawienia tej luki przed 13 listopada 2024 roku, co pokazuje powagę zagrożenia.
Oświadczenie Fortinet
Fortinet podkreślił, że po identyfikacji tej luki (CVE-2024-47575) szybko przekazano kluczowe informacje i zasoby klientom, aby pomóc im w wzmocnieniu zabezpieczeń jeszcze przed oficjalnym opublikowaniem ostrzeżenia. Firma zaleca wszystkim użytkownikom, aby śledzili wytyczne dotyczące łatek i obejść, a także regularnie odwiedzali stronę z informacjami o zagrożeniach, aby być na bieżąco z aktualizacjami.
Powiązania z grupą UNC5820
Mandiant, firma zajmująca się analizą zagrożeń, przypisała masowe wykorzystanie luki CVE-2024-47575 do nowej grupy zagrożeń o nazwie UNC5820. Do tej pory zidentyfikowano co najmniej 50 potencjalnie zainfekowanych urządzeń FortiManager w różnych branżach, a dowody wskazują na to, że eksploatacja tej luki miała miejsce od 27 czerwca 2024 roku.
Grupa UNC5820 eksfiltrowała dane konfiguracyjne z urządzeń FortiGate zarządzanych przez zaatakowane FortiManager’y. Te dane zawierają szczegółowe informacje o konfiguracji, kontach użytkowników oraz hasła zaszyfrowane z wykorzystaniem algorytmu FortiOS256. Choć nie ma dowodów na to, że dane te zostały użyte do dalszego przemieszczania się w sieci lub dalszej eksploatacji, samo ich posiadanie stwarza duże zagrożenie dla bezpieczeństwa przedsiębiorstw.
Podsumowanie
Luka CVE-2024-47575 stanowi poważne zagrożenie dla użytkowników FortiManager i wymaga natychmiastowego wdrożenia środków naprawczych. Fortinet dostarczył szczegółowe wytyczne dotyczące obejść, a organizacje powinny podjąć kroki, aby minimalizować ryzyko eksploatacji. Współpraca z międzynarodowymi agencjami i firmami analitycznymi, takimi jak Mandiant, pomoże w wyjaśnieniu zagrożenia oraz zabezpieczeniu urządzeń przed działaniami grupy UNC5820.