25.10.2024 | FortiJump: Fortinet признала 0Day в критической инфраструктуре |
Fortinet опубликовала информацию о новой уязвимости FortiManager, получившей название «FortiJump». Согласно отчёту Mandiant, уязвимость активно использовалась в zero-day атаках с июня 2024 года, что привело к компрометации более 50 серверов. Ранее в интернете распространялись слухи о наличии уязвимости FortiManager, после того как Fortinet разослала уведомления своим клиентам в частном порядке. Сегодня компания подтвердила наличие проблемы, указав, что она связана с отсутствием аутентификации в API «FortiGate to FortiManager Protocol» (FGFM). Злоумышленники могли воспользоваться уязвимостью, регистрируя свои устройства FortiManager и FortiGate на уязвимых серверах, используя поддельные сертификаты. Подключившись к серверу, даже если устройство не было авторизовано, атакующие получали возможность выполнять команды API и похищать данные конфигураций управляемых устройств. Fortinet выпустила обновления для устранения уязвимости CVE-2024-47575 (оценка CVSS: 9.8) и предложила меры для предотвращения эксплуатации, такие как ограничение доступа по IP-адресам и использование команды для блокировки неизвестных устройств. С июня 2024 года уязвимость использовалась хакерской группировкой UNC5820, которая скомпрометировала устройства FortiManager и похитила конфигурационные данные управляемых устройств FortiGate, включая пароли пользователей, зашифрованные алгоритмом FortiOS256. Украденные данные могли бы быть использованы для дальнейшей компрометации FortiManager и других устройств в корпоративной сети. В первом зафиксированном нападении киберпреступники зарегистрировали неавторизованное виртуальное устройство FortiManager. В процессе атаки были созданы несколько файлов, содержащих данные о сервере FortiManager и управляемых устройствах, а также архив с информацией об устройствах FortiGate и данные об устройстве хакеров, включая серийный номер и электронную почту. Несмотря на кражу данных, Mandiant пока не нашла доказательств использования данных для дальнейшего проникновения в сети или устройства FortiGate. Специалисты предполагают, что информация уже может быть неактуальной, так как клиенты Fortinet, скорее всего, изменили свои учётные данные и приняли дополнительные меры безопасности. Mandiant продолжает расследование, однако пока не смогла установить мотивы атак и местоположение хакеров. В дальнейшем, по мере появления новой информации, специалисты обновят свои выводы. |
Проверить безопасность сайта