Fortinet heeft details bevestigd van een kritieke beveiligingsfout die gevolgen heeft voor FortiManager en die in het wild actief wordt uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2024-47575 (CVSS-score: 9,8), staat ook bekend als FortiJump en is geworteld in het FortiGate to FortiManager (FGFM)-protocol.
“Een ontbrekende authenticatie voor een kwetsbaarheid voor kritieke functies (CWE-306) in de FortiManager fgfmd-daemon kan een niet-geauthenticeerde aanvaller op afstand in staat stellen willekeurige code of opdrachten uit te voeren via speciaal vervaardigde verzoeken”, aldus het bedrijf in een advies van woensdag.
De tekortkoming heeft gevolgen voor FortiManager versies 7.x, 6.x, FortiManager Cloud 7.x en 6.x. Het is ook van invloed op de oude FortiAnalyzer-modellen 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G en 3900E die ten minste één interface hebben met de fgfm-service ingeschakeld en de onderstaande configuratie ingeschakeld –
config system global set fmg-status enable end
Fortinet heeft ook drie oplossingen voor de fout geboden, afhankelijk van de huidige versie van FortiManager die is geïnstalleerd:
- FortiManager versies 7.0.12 of hoger, 7.2.5 of hoger, 7.4.3 of hoger: Voorkom dat onbekende apparaten proberen te registreren
- FortiManager versies 7.2.0 en hoger: Voeg local-in-beleid toe om de IP-adressen van FortiGates die verbinding mogen maken op de toelatingslijst te zetten
- FortiManager versies 7.2.2 en hoger, 7.4.0 en hoger, 7.6.0 en hoger: gebruik een aangepast certificaat
Volgens runZero is het voor een succesvolle exploitatie vereist dat de aanvallers in het bezit zijn van een geldig Fortinet-apparaatcertificaat, hoewel het bedrijf opmerkte dat dergelijke certificaten van een bestaand Fortinet-apparaat kunnen worden verkregen en hergebruikt.
“De geïdentificeerde acties van deze aanval in het wild waren het automatiseren via een script van de exfiltratie van verschillende bestanden van de FortiManager die de IP’s, inloggegevens en configuraties van de beheerde apparaten bevatten”, aldus het bedrijf.
Het benadrukte echter dat de kwetsbaarheid niet is ingezet om malware of backdoors op gecompromitteerde FortiManager-systemen te plaatsen, en dat er ook geen enkel bewijs is van gewijzigde databases of verbindingen.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet het defect toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de oplossingen vóór 13 november 2024 moeten toepassen.
Fortinet deelde ook onderstaande verklaring met The Hacker News:
Na het identificeren van deze kwetsbaarheid (CVE-2024-47575) heeft Fortinet onmiddellijk kritieke informatie en middelen aan klanten gecommuniceerd. Dit is in lijn met onze processen en best practices voor verantwoorde openbaarmaking om klanten in staat te stellen hun beveiligingshouding te versterken voordat een advies publiekelijk wordt vrijgegeven aan een breder publiek, inclusief bedreigingsactoren. We hebben ook een overeenkomstig openbaar advies gepubliceerd (FG-IR-24-423), waarin de richtlijnen voor risicobeperking worden herhaald, inclusief een tijdelijke oplossing en patchupdates. We dringen er bij klanten op aan de gegeven richtlijnen te volgen om de tijdelijke oplossingen en oplossingen te implementeren en onze adviespagina te blijven volgen op updates. We blijven coördineren met de relevante internationale overheidsinstanties en bedreigingsorganisaties uit de sector als onderdeel van onze voortdurende reactie.
CVE-2024-47575 Exploitatie gekoppeld aan UNC5820
Mandiant, eigendom van Google, heeft de massale exploitatie van FortiManager-apparaten met behulp van CVE-2024-47575 toegeschreven aan een nieuw dreigingscluster dat het volgt onder de naam UNC5820.
Tot nu toe zijn er niet minder dan 50 mogelijk gecompromitteerde FortiManager-apparaten in verschillende sectoren geïdentificeerd, met bewijs van exploitatie daterend uit 27 juni 2024.
“UNC5820 heeft de configuratiegegevens van de FortiGate-apparaten die worden beheerd door de uitgebuite FortiManager geënsceneerd en geëxfiltreerd”, aldus Mandiant-onderzoekers Foti Castelan, Max Thauer, JP Glab, Gabby Roncone, Tufail Ahmed en Jared Wilson.
“Deze gegevens bevatten gedetailleerde configuratie-informatie van de beheerde apparaten, evenals de gebruikers en hun FortiOS256-gehashte wachtwoorden. Deze gegevens kunnen door UNC5820 worden gebruikt om de FortiManager verder in gevaar te brengen, lateraal naar de beheerde Fortinet-apparaten te gaan en zich uiteindelijk op de bedrijfsomgeving te richten .”
Het dreigingsinformatiebedrijf, dat samenwerkt met Fortinet, zei dat het geen bewijs heeft gevonden dat de dreigingsactor de configuratiegegevens heeft misbruikt voor laterale verplaatsing en verdere post-exploitatie. De exacte oorsprong en motivaties van UNC5820 blijven onduidelijk, voegde het eraan toe, daarbij verwijzend naar een gebrek aan voldoende gegevens.
