بر اساس گزارش جدیدی از شرکت Mandiant، یک نقص جدید در FortiManager شرکت Fortinet به نام ‘FortiJump’ که با شناسه CVE-2024-47575 شناخته میشود، از ژوئن ۲۰۲۴ در حملات روز صفر (Zero-Day) علیه بیش از ۵۰ سرور مورد سوءاستفاده قرار گرفته است.
در ده روز گذشته، شایعاتی درباره یک آسیبپذیری Zero Day در FortiManager که به طور فعال مورد سوءاستفاده قرار گرفته است، بهصورت آنلاین پخش شده است. این شایعات پس از آن منتشر شد که Fortinet در یک اعلان امنیتی خصوصی، مشتریان خود را از این موضوع مطلع کرد.
شرکت Fortinet بالاخره آسیبپذیری FortiManager را فاش کرد و اعلام کرد که این آسیبپذیری یک نقص در احراز هویت در API پروتکل ‘FortiGate to FortiManager’ (FGFM) است که توسط Fortinet ایجاد شده و به مهاجمان بدون احراز هویت اجازه میدهد تا دستورات را بر روی سرور و دستگاههای FortiGate تحت مدیریت اجرا کنند.
بازیگران تهدید میتوانند از این نقص با استفاده از دستگاههای FortiManager و FortiGate تحت کنترل خود که دارای گواهیهای معتبر هستند، سوءاستفاده کنند تا خود را در هر سرور FortiManager که به صورت عمومی در دسترس است، ثبت کنند.
پس از اتصال دستگاه مهاجم، حتی اگر در حالت غیرمجاز قرار داشت، مهاجم میتوانست با سوءاستفاده از این نقص، دستورات API را بر روی FortiManager اجرا کند و اطلاعات پیکربندی دستگاههای تحت مدیریت را سرقت کند.
وصلههایی برای آسیبپذیری CVE-2024-47575 منتشر کرده و راهکارهایی برای کاهش خطر ارائه داده است، از جمله محدود کردن دسترسی به آدرسهای IP خاص یا جلوگیری از ثبت دستگاههای ناشناس FortiGate با استفاده از دستور set fgfm-deny-unknown enable
از ماه ژوئن به عنوان یک Zero Day مورد سوءاستفاده قرار گرفته است.
Mandiant گزارش میدهد که یک عامل تهدید با شناسه UNC5820 از تاریخ ۲۷ ژوئن ۲۰۲۴، از دستگاههای FortiManager سوءاستفاده کرده است.
گزارش جدید Mandiant میگوید که مهاجم UNC5820 توانسته دادههای پیکربندی دستگاههای FortiGate را که زیر نظر FortiManager آسیبپذیر بودند، استخراج کند.
دادههای استخراجشده شامل اطلاعات دقیق پیکربندی دستگاهها و همچنین اطلاعات مربوط به کاربران و رمزهای عبور آنها به صورت رمزنگاریشده است.
این دادهها میتوانند توسط UNC5820 برای نفوذ بیشتر به FortiManager، حرکت جانبی به سمت دستگاههای Fortinet تحت مدیریت، و در نهایت هدف قرار دادن محیط سازمانی استفاده شوند.
اولین حمله مشاهدهشده از آدرس ۴۵٫۳۲٫۴۱[.]۲۰۲ انجام شد، زمانی که عوامل تهدید یک FortiManager-VM غیرمجاز را به یک سرور FortiManager در معرض دید ثبت کردند.
این دستگاه با نام ‘localhost’ لیست شده و از شماره سریال ‘FMG-VMTM23017412’ استفاده کرده است، همانطور که در زیر نشان داده شده است.
به عنوان بخشی از حمله، Mandiant میگوید که چهار فایل ایجاد شده است:
/tmp/.tm – یک آرشیو gzip که شامل اطلاعات استخراجشده درباره دستگاههای FortiGate تحت مدیریت، اطلاعات مربوط به سرور FortiManager و پایگاهداده جهانی آن است.
/fds/data/unreg_devices.txt – شامل شماره سریال و آدرس IP دستگاههای ثبتنشده است.
/fds/data/subs.dat.tmp – ناشناخته
/fds/data/subs.dat – این فایل شامل شماره سریال دستگاه تحت کنترل مهاجم، شناسه کاربری، نام شرکت و یک آدرس ایمیل است.
در اولین حمله مشاهدهشده، آدرس ایمیل ‘۰qsc137p@justdefinition.com’ و نام شرکت ‘Purity Supreme’ بود.
Mandiant تحقیقاتی را در مورد یک دستگاه آسیبدیده انجام داد و نتیجهگیری کرد که هیچ نشانهای از وجود نرمافزارهای مخرب یا تغییرات غیرمجاز در فایلهای سیستم وجود ندارد.
در حالی که مهاجمان دادههایی را از دستگاهها استخراج کردند، Mandiant میگوید هیچ نشانهای وجود ندارد که UNC5820 از این اطلاعات حساس برای حرکت جانبی به سمت دستگاههای FortiGate تحت مدیریت یا نفوذ به شبکهها استفاده کرده باشد.
در این مرحله، دادههای سرقتشده ممکن است برای مهاجمان به اندازهای که انتظار میرفت، ارزشمند نباشد، زیرا Mandiant و Fortinet به مشتریان درباره حملات اطلاعرسانی کردهاند. امیدواریم که مشتریان رمزهای عبور خود را تغییر داده و تدابیر احتیاطی دیگری اتخاذ کرده باشند.
با توجه به اینکه هیچ فعالیت دنبالهداری بعد از حملات اولیه انجام نشده است، Mandiant نتوانسته است هدف عامل تهدید و محل احتمالی آنها را تعیین کند.
در نتیجه، در زمان انتشار این مطلب، ما اطلاعات کافی برای ارزیابی انگیزه یا موقعیت عامل تهدید نداریم. با توجه به اینکه اطلاعات اضافی از طریق تحقیقات ما بهدست میآید، Mandiant ارزیابی نسبت به این وبلاگ را بهروزرسانی خواهد کرد.
Fortinet اطلاعات اضافی را در مشاوره خود درباره CVE-2024-47575 (FG-IR-24-423) به اشتراک گذاشت، از جمله روشهای کاهش آسیب و بازیابی. این مشاوره همچنین شامل IOCهای اضافی است، از جمله آدرسهای IP دیگر مورد استفاده توسط مهاجمان و ورودیهای لاگ برای شناسایی یک سرور FortiManager آسیبدیده.
