Ciberseguridad 360 | Vulnerabilidad crítica en FortiManager bajo explotación

Un nuevo fallo de Fortinet FortiManager apodado "FortiJump" y rastreado como CVE-2024-47575 ha sido explotado desde junio de 2024 en ataques zero-day en m�s de 50 servidores, seg�n un nuevo informe de Mandiant.

Durante los �ltimos diez d�as, los rumores de un zero-day de FortiManager activamente explotado han estado circulando en l�nea despu�s de que Fortinet notificara privadamente a los clientes en un aviso de seguridad de notificaci�n avanzada.

Ayer, Fortinet ha revelado finalmente la vulnerabilidad de FortiManager, afirmando que se trataba de un fallo de autenticaci�n en la API "FortiGate to FortiManager Protocol" (FGFM) creada por Fortinet que permit�a a atacantes no autenticados ejecutar comandos en el servidor y en los dispositivos FortiGate gestionados.

Las amenazas pod�an aprovechar el fallo utilizando dispositivos FortiManager y FortiGate controlados por atacantes con certificados v�lidos para registrarse en cualquier servidor FortiManager expuesto.

Una vez conectado su dispositivo, incluso si se encontraba en un estado no autorizado, pod�an explotar el fallo para ejecutar comandos API en el FortiManager y robar datos de configuraci�n sobre los dispositivos gestionados.

Fortinet ha publicado parches para el CVE-2024-47575 y ha ofrecido mitigaciones, como permitir �nicamente la conexi�n de direcciones IP espec�ficas o impedir que se registren dispositivos FortiGate desconocidos mediante el comando set fgfm-deny-unknown enable.

Explotado como zero-day desde junio

Esta noche de ayer, Mandiant informa que un actor de amenazas rastreado como UNC5820 ha estado explotando dispositivos FortiManager desde el 27 de junio de 2024.

"UNC5820 escenific� y exfiltr� los datos de configuraci�n de los dispositivos FortiGate gestionados por el FortiManager explotado", se lee en el nuevo informe de Mandiant.

"Estos datos contienen informaci�n de configuraci�n detallada de los dispositivos gestionados, as� como los usuarios y sus contrase�as cifradas FortiOS256".

"Estos datos podr�an ser utilizados por UNC5820 para comprometer a�n m�s el FortiManager, moverse lateralmente a los dispositivos Fortinet administrados y, en �ltima instancia, apuntar al entorno empresarial".

El primer ataque observado fue visto viniendo de 45.32.41[.]202, cuando los actores de la amenaza registraron un FortiManager-VM no autorizado a un servidor FortiManager expuesto.

Este dispositivo fue listado con el nombre "localhost" y utiliz� un n�mero de serie de "FMG-VMTM23017412", como se muestra a continuaci�n.

FortiManager-VM controlado por atacantes

Fuente: Mandiant

Como parte del ataque, Mandiant dice que se crearon cuatro archivos:

/tmp/.tm - Un archivo gzip que contiene informaci�n exfiltrada sobre dispositivos FortiGate gestionados, informaci�n sobre el servidor FortiManager y su base de datos global.

/fds/data/unreg_devices.txt - Contiene el n�mero de serie y la direcci�n IP del dispositivo no registrado.

/fds/data/subs.dat.tmp - Desconocido

/fds/data/subs.dat - Este archivo conten�a el n�mero de serie del dispositivo controlado por el atacante, el ID de usuario, el nombre de la empresa y una direcci�n de correo electr�nico.

En el primer ataque observado, la direcci�n de correo electr�nico era "0qsc137p@justdefinition.com", y el nombre de la empresa era "Purity Supreme".

Mandiant afirma que analizaron la memoria de un dispositivo comprometido, pero no encontraron indicios de cargas �tiles maliciosas ni de manipulaci�n de los archivos del sistema.

Aunque los atacantes exfiltraron datos de los dispositivos, Mandiant afirma que no ha habido indicios de que UNC5820 utilizara esta informaci�n sensible para propagarse lateralmente a los dispositivos FortiGate gestionados o vulnerar las redes.

En este momento, los datos robados pueden no ser tan valiosos para los atacantes, ya que Mandiant y Fortinet notificaron a los clientes de los ataques. Con suerte, los clientes modificaron sus credenciales y tomaron otras precauciones.

Como no hubo actividad de seguimiento despu�s de los ataques iniciales, Mandiant no ha podido determinar el objetivo del actor de la amenaza ni d�nde puede estar ubicado.

"Como resultado, en el momento de la publicaci�n, carecemos de datos suficientes para evaluar la motivaci�n o la ubicaci�n del actor. A medida que dispongamos de informaci�n adicional a trav�s de nuestras investigaciones, Mandiant actualizar� la evaluaci�n de atribuci�n de este blog", explic� Mandiant.

Fortinet comparti� informaci�n adicional en su aviso CVE-2024-47575 (FG-IR-24-423), incluyendo m�todos de mitigaci�n y recuperaci�n. El aviso tambi�n incluye IOC adicionales, incluyendo otras direcciones IP utilizadas por los atacantes y entradas de registro para detectar un servidor FortiManager comprometido.

Fuente: bleepingcomputer