Mandiant称,自2024年6月以来,“FortiJump ”漏洞(CVE-2024-47575)已在零日攻击中被利用,影响超过50台服务器。
Mandiant发布的一份新报告指出,最近披露的Fortinet FortiManager漏洞 “FortiJump” CVE-2024-47575(CVSS v4评分:9.8)自2024年6月以来已在零日攻击中被利用,影响超过50台服务器。
该漏洞是 FortiManager 和 FortiManager Cloud 版本中的身份验证缺失问题,攻击者可通过特制请求执行任意代码或命令。
Fortinet 发布的公告称:“FortiManager fgfmd 守护进程中的一个关键功能认证缺失漏洞 [CWE-306] 可能允许远程未认证攻击者通过特制请求执行任意代码或命令。”
Fortinet 证实 CVE-2024-47575 漏洞已在野外被利用
“报告显示,该漏洞已在野外被利用。”Fortinet 补充说:“已确定的野外攻击行动是通过脚本从 FortiManager 自动渗出各种文件,其中包含受管设备的 IP、凭据和配置。”
本周,美国网络安全和基础设施安全局(CISA)将FortiJump列入其已知漏洞(KEV)目录。
Mandiant现在透露,它已经帮助Fortinet调查了针对FortiManager设备的攻击。
“2024年10月,Mandiant与Fortinet合作调查了针对FortiManager设备的大规模利用,涉及不同行业的50多台可能被入侵的FortiManager设备。”Mandiant发布的报告中写道。“该漏洞(CVE-2024-47575 / FG-IR-24-423)允许威胁行为者使用未经授权的、由威胁行为者控制的 FortiManager 设备,针对易受攻击的 FortiManager 设备执行任意代码或命令。”
威胁者可利用该漏洞注册恶意 FortiManager 和 FortiGate 设备,执行 API 命令,并窃取配置数据。
Mandiant 早在 2024 年 6 月 27 日就发现了一个利用 FortiManager 漏洞的新威胁集群,追踪名为 UNC5820。UNC5820入侵了FortiGate设备并外泄了配置数据,包括用户列表及其FortiOS256-hashed密码。
威胁者可利用外泄数据进一步入侵 FortiManager,实施横向移动,并在目标的基础设施中建立立足点。
“目前,Mandiant 分析的数据源没有记录威胁者利用 FortiManager 漏洞的具体请求。此外,在我们调查的现阶段,没有证据表明 UNC5820 利用获得的配置数据横向移动并进一步破坏环境。因此,在报告发布时,我们缺乏足够的数据来评估行为者的动机或位置。随着我们的调查获得更多信息,Mandiant 将更新本博客的归因评估。”
Mandiant于2024年6月27日首次观察到利用企图,当时多个FortiManager设备在默认端口TCP/541上接收到来自IP地址45[.]32[.]41[.]202的入站连接。这些设备的文件系统在名为 /tmp/.tm 的 Gzip 压缩档案中记录了各种 Fortinet 配置文件的分期。
2024 年 9 月 23 日,Mandiant 检测到了第二波具有类似指标的攻击。在这两种情况下,出站流量都紧随存档创建,发送的数据略微超出存档大小。
Mandiant 分析了目标设备上的 rootfs.gz 文件,但未发现与漏洞利用相关的恶意文件。谷歌云已向受影响的客户发出警报,并针对未来的 Fortinet 攻击尝试实施了检测措施。
Mandiant尚未能确定攻击者的动机,也尚未将该攻击活动归咎于已知的威胁行为者。
Mandiant敦促可能将FortiManager暴露在互联网上的企业进行取证调查。
Mandiant表示:“在发布时,我们缺乏足够的数据来评估攻击者的动机或位置。” Mandiant 总结道:“当我们通过调查获得更多信息时,Mandiant 将更新本博客的归因评估。
“可能将 FortiManager 暴露在互联网上的组织应立即进行取证调查。”
为降低与利用 FortiManager 漏洞相关的风险,可以实施几种策略。首先,只允许经批准的内部 IP 地址访问 FortiManager 管理门户。确保只允许授权的 FortiGate 设备与 FortiManager 通信,同时阻止任何未知 FortiGate 设备连接。此缓解措施在 FortiManager 7.2.5、7.0.12、7.4.3 及更高版本中可用。配置时,必须使用以下命令启用 “fgfm-deny-unknown ”设置:
config system global
set fgfm-deny-unknown enable
end