Η Fortinet αποκάλυψε μια κρίσιμη ευπάθεια στο FortiManager API, η οποία παρακολουθείται ως CVE-2024-47575 και χρησιμοποιήθηκε πρόσφατα σε επιθέσεις ως zero-day. Οι επιτιθέμενοι την εκμεταλλεύτηκαν για κλοπή ευαίσθητων αρχείων.
Η εταιρεία ενημέρωσε τους πελάτες του FortiManager από τις 13 Οκτωβρίου και πρότεινε κάποια μέτρα προστασίας, μέχρι να κυκλοφορήσει μια ενημέρωση ασφαλείας. Τώρα αποκάλυψε την ευπάθεια και δημόσια, αν και τα νέα άρχισαν να διαρρέουν στο διαδίκτυο μέσα στην εβδομάδα, από πελάτες της εταιρείας και από τον ερευνητή κυβερνοασφάλειας Kevin Beaumont.
Διαχειριστές συσκευών Fortinet είπαν, επίσης, ότι κάποιοι εκμεταλλεύονταν την ευπάθεια, με έναν πελάτη να αναφέρει ότι δέχτηκε επίθεση εβδομάδες πριν σταλούν οι ειδοποιήσεις από την εταιρεία.
Δείτε επίσης: CISA: Κρίσιμο ελάττωμα RCE της Fortinet χρησιμοποιείται σε επιθέσεις
Πρόστιμο 15 εκατ. δολαρίων στη Meta για συλλογή πληροφοριών
LignoSat: Ο πρώτος ξύλινος δορυφόρος εστάλη στο διάστημα
Ρομπότ ανασύρει ραδιενεργό υλικό από αντιδραστήρα
FortiManager zero-day
Η Fortinet αποκάλυψε δημόσια ότι η ευπάθεια CVE-2024-47575 στο FortiManager χρησιμοποιείται σε επιθέσεις. Θεωρείται κρίσιμη (9,8/10), αφού μπορεί να επιτρέψει σε έναν απομακρυσμένο μη εξουσιοδοτημένο εισβολέα να εκτελέσει κώδικα ή εντολές μέσω ειδικά διαμορφωμένων αιτημάτων.
Σύμφωνα με πληροφορίες του BleepingComputer, ωστόσο, οι φορείς απειλών πρέπει πρώτα να εξαγάγουν ένα έγκυρο πιστοποιητικό από οποιαδήποτε ιδιόκτητη ή παραβιασμένη συσκευή Fortinet, συμπεριλαμβανομένου του FortiManager VM.
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις FortiManager:
Version | Affected | Solution |
---|---|---|
FortiManager 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
FortiManager 7.4 | 7.4.0 through 7.4.4 | Upgrade to 7.4.5 or above |
FortiManager 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
FortiManager 7.0 | 7.0.0 through 7.0.12 | Upgrade to 7.0.13 or above |
FortiManager 6.4 | 6.4.0 through 6.4.14 | Upgrade to 6.4.15 or above |
FortiManager 6.2 | 6.2.0 through 6.2.12 | Upgrade to 6.2.13 or above |
FortiManager Cloud 7.6 | Not affected | Not Applicable |
FortiManager Cloud 7.4 | 7.4.1 through 7.4.4 | Upgrade to 7.4.5 or above |
FortiManager Cloud 7.2 | 7.2.1 through 7.2.7 | Upgrade to 7.2.8 or above |
FortiManager Cloud 7.0 | 7.0.1 through 7.0.12 | Upgrade to 7.0.13 or above |
FortiManager Cloud 6.4 | 6.4 all versions | Migrate to a fixed release |
Προς το παρόν, έχουν κυκλοφορήσει μόνο οι εκδόσεις FortiManager 7.2.8 και 7.4.5. Οι υπόλοιπες θα κυκλοφορήσουν τις επόμενες ημέρες.
Η Fortinet δημιούργησε το “FortiGate to FortiManager Protocol” (FGFM) για να επιτρέψει στις εταιρείες να αναπτύξουν εύκολα FortiGate firewall και να τα βάλουν να εγγραφούν σε έναν απομακρυσμένο διακομιστή FortiManager (ώστε να είναι δυνατή η διαχείριση από μια κεντρική τοποθεσία).
Μιλώντας για την ευπάθεια και τον τρόπο εκμετάλλευσης, ο ερευνητής κυβερνοασφάλειας Kevin Beaumont είπε ότι δεν είναι δύσκολο για έναν εισβολέα να συνδέσει μια συσκευή FortiGate σε έναν εκτεθειμένο διακομιστή FortiManager, εφόσον έχει λάβει έγκυρο πιστοποιητικό.
Αυτό το πιστοποιητικό χρησιμοποιείται για τη ρύθμιση ενός SSL tunnel μεταξύ του διακομιστή FortiGate και του διακομιστή FortiManager (για τον έλεγχο ταυτότητας και των δύο συσκευών). Ωστόσο, μια πηγή φέρεται να είπε στο BleepingComputer ότι δεν βρίσκεται σε αυτό το σημείο η ευπάθεια. Απαιτείται ένα επιπλέον επίπεδο εξουσιοδότησης για την εκτέλεση εντολών μέσω του FortiManager FGFM API, το οποίο μπορεί να παρακαμφθεί μέσω της ευπάθειας CVE-2024-47575.
Δείτε επίσης: Η Fortinet επιβεβαίωσε παραβίαση δεδομένων πελατών
Αυτό το API επιτρέπει στους εισβολείς να εκτελούν εντολές, να ανακτούν πληροφορίες και γενικά να αποκτούν τον πλήρη έλεγχο των διαχειριζόμενων συσκευών και του FortiManager. Έτσι μπορούν να αποκτήσουν περαιτέρω πρόσβαση στα εταιρικά δίκτυα.
Η παράκαμψη ελέγχου ταυτότητας στο API έχει διορθωθεί στις πιο πρόσφατες εκδόσεις του FortiManager.
Χρήση ευπάθειας Fortinet FortiManager για κλοπή δεδομένων
Η Fortinet λέει ότι οι επιθέσεις που παρατηρήθηκαν χρησιμοποιήθηκαν για την κλοπή διαφόρων αρχείων από τον διακομιστή FortiManager. Αυτά τα αρχεία “περιείχαν τις IP, τα διαπιστευτήρια και τις διαμορφώσεις των διαχειριζόμενων συσκευών“. Οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για στόχευση συσκευών FortiGate και για αρχική πρόσβαση σε εταιρικά δίκτυα.
“Σε αυτό το στάδιο, δεν έχουμε λάβει αναφορές για εγκατάσταση malware ή backdoors σε αυτά τα παραβιασμένα συστήματα FortiManager“, αναφέρει η Fortinet.
“Από όσο γνωρίζουμε, δεν υπάρχουν δείκτες τροποποιημένων βάσεων δεδομένων ή συνδέσεων και τροποποιήσεων στις διαχειριζόμενες συσκευές“.
Η Fortinet δεν έχει αποδώσει τις επιθέσεις σε συγκεκριμένη hacking ομάδα και δεν έχει αναφέρει τον αριθμό και το είδος των πελατών που επηρεάστηκαν. Η έρευνα βρίσκεται σε εξέλιξη.
Ωστόσο, η Fortinet μοιράστηκε IOCs για να βοηθήσει τους επαγγελματίες ασφαλείας και τους διαχειριστές δικτύου να εντοπίσουν εάν οι διακομιστές FortiManager παραβιάστηκαν.
Οι επιθέσεις, που παρατηρήθηκαν, δείχνουν ότι οι παράγοντες απειλών συνέδεσαν συσκευές FortiGate (που ελέγχονται από τους ίδιους) με το όνομα “localhost”, το οποίο θα εμφανίζεται στην ενότητα Unregistered Devices στο Fortimanager.
Δείτε επίσης: Οι Κινέζοι hackers UNC3886 χρησιμοποιούν ευπάθειες Fortinet, Ivanti και VMware
Οι καταχωρίσεις στο αρχείο καταγραφής θα δείχνουν ότι οι επιτιθέμενοι εξέδωσαν εντολές API για να προσθέσουν αυτές τις μη καταχωρημένες συσκευές “localhost“:
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
Μια άλλη καταχώριση χρησιμοποιήθηκε για την επεξεργασία των ρυθμίσεων της συσκευής:
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
Η Fortinet λέει ότι οι “δόλιες” συσκευές FortiGate χρησιμοποιούσαν τον σειριακό αριθμό FMG-VMTM23017412, ο οποίος φαίνεται να είναι το format που χρησιμοποιείται από τις εικονικές μηχανές FortiGate-VM.
Άλλα IOCs περιλαμβάνουν τη δημιουργία των αρχείων /tmp/.tm και /var/tmp/.tm.
Στις επιθέσεις παρατηρήθηκαν οι ακόλουθες διευθύνσεις IP, όλες στην εταιρεία φιλοξενίας cloud, Vultr:
- 45.32.41.202
- 104.238.141.143 (Πρόσφατα εμφανίστηκε να φιλοξενεί υποδομή SuperShell C2)
- 158.247.199.37
- 45.32.63.2
Η Fortinet προειδοποιεί ότι ενδέχεται να μην υπάρχουν όλα τα IOCs σε συσκευές που έχουν υποστεί εκμετάλλευση.
Η Fortinet προέτρεψε όλους τους χρήστες να ενημερώσουν αμέσως τα συστήματά τους για να μετριάσουν τους πιθανούς κινδύνους. Η επίθεση υπογραμμίζει την αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο και τη σημασία των ισχυρών μέτρων ασφαλείας.
Οι ειδικοί στον τομέα της κυβερνοασφάλειας συνιστούν στους οργανισμούς να εφαρμόζουν ενημερώσεις λογισμικού, μόλις γίνονται διαθέσιμες, να διενεργούν ενδελεχείς ελέγχους συστήματος και να χρησιμοποιούν στρατηγικές ασφαλείας σε επίπεδα για την προστασία ευαίσθητων δεδομένων. Συνιστάται, επίσης, στις εταιρείες να παρακολουθούν τα δίκτυά τους για ασυνήθιστη δραστηριότητα και να καταρτίζουν ολοκληρωμένα σχέδια αντιμετώπισης περιστατικών για την αντιμετώπιση πιθανών παραβιάσεων γρήγορα και αποτελεσματικά.
Επιπλέον, οι οργανισμοί θα πρέπει να παρέχουν στους υπαλλήλους μια ολοκληρωμένη εκπαίδευση για την ασφάλεια στον κυβερνοχώρο, για να προωθήσουν την ευαισθητοποίηση και να αποτρέψουν το ανθρώπινο λάθος.
Πηγή: www.bleepingcomputer.com