CVE-2024-47575 Erkennung: FortiManager API-Sicherheitslücke in Zero-Day-Angriffen ausgenutzt
Inhaltsverzeichnis:
Angreifer starten häufig hochkarätige Angriffe, indem sie RCE Schwachstellen in beliebten Softwareprodukten ausnutzen. Sicherheitsexperten haben kürzlich die weit verbreitete Ausnutzung von FortiManager-Instanzen identifiziert, mit über 50 potenziell kompromittierten Geräten in verschiedenen Branchen. Verteidiger haben eine kritische FortiManager-API-Schwachstelle offengelegt, die als CVE-2024-47575 verfolgt wird und in Zero-Day-Angriffen von Gegnern ausgenutzt wurde, um beliebigen Code oder Befehle auszuführen und sensible Dateien mit Konfigurationen, IP-Adressen und Anmeldedaten für verwaltete Geräte zu stehlen.
Erkennungsversuche der Ausnutzung von CVE-2024-47575
Ein neuer Tag bringt eine weitere kritische Schwachstelle, die aktiv ausgenutzt wird. Diesmal haben Sicherheitsexperten eine Sicherheitslücke in FortiManager-Instanzen offengelegt, die es einem Exploit für Remote-Code-Ausführung ermöglicht hat, in freier Wildbahn genutzt zu werden. Ein neuer Bedrohungsakteur, der von Mandiant unter der Kennung UNC5820 verfolgt wird, wurde mit dieser Ausnutzung in Verbindung gebracht.
Um potenziellen Angriffen zuvorzukommen, können Cyber-Verteidiger die SOC Prime Plattform nutzen, die relevante Erkennungsregeln und eine vollständige Suite von Tools für fortschrittliche Bedrohungserkennung, automatisierte Bedrohungsjagd und KI-gestützte Erkennungsentwicklung bietet.
Um Ausnutzungsversuche für CVE-2024-47575 zu erkennen, werfen Sie einen Blick auf die dedizierte Sigma-Regel des SOC Prime Teams:
Die Regel ist mit 16 Sicherheitsanalyselösungen kompatibel und wird mit dem MITRE ATT&CK® Frameworkabgebildet, das die Taktik des anfänglichen Zugriffs mit der entsprechenden Technik Exploit Public-Facing Application (T1190) anspricht.
Erkunden Sie den breiteren Erkennungsstapel, der auf das Erkennen aufkommender CVEs abzielt, indem Sie auf die Erkennungen erkunden Schaltfläche klicken. Sicherheitsexperten können umfassenden Bedrohungskontext zusammen mit ATT&CK-Referenzen und CTI-Links erhalten sowie umsetzbare Metadaten, die auf die spezifischen Bedürfnisse ihrer Organisation zugeschnitten sind, für eine optimierte Bedrohungsforschung.
Analyse von CVE-2024-47575
Im Oktober 2024 partnerte Mandiant mit Fortinet-Forschern, um die massenhafte Ausnutzung von über 50 FortiManager-Geräten in verschiedenen Branchen zu untersuchen. Die ausgenutzte hochkritische Zero-Day-Schwachstelle mit einem CVSS-Score von 9,8, identifiziert als CVE-2024-47575, ermöglicht es Bedrohungsakteuren, nicht autorisierte FortiManager-Geräte unter ihrer Kontrolle auszunutzen, um RCE auszuführen.
Laut Fortinets Empfehlungkönnte CVE-2024-47575 einem entfernten, nicht authentifizierten Angreifer ermöglichen, durch speziell gestaltete Anfragen beliebigen Code oder Befehle auszuführen, da bei einer kritischen Funktion [CWE-306] im FortiManager fgfmd Daemon die Authentifizierung fehlt.
Mandiant hat einen neuen Bedrohungshaufen, UNC5820, identifiziert, der möglicherweise mit der Ausnutzung von CVE-2024-47575 in Verbindung steht und seit Juni 2024 eine Schwachstelle waffenfähig macht. Gegner exfiltrierten Konfigurationsdaten von verwalteten FortiGate-Geräten, einschließlich detaillierter Konfigurationen und Benutzer-FortiOS256-gehashter Passwörter. Diese Daten könnten UNC5820 grünes Licht dafür geben, FortiManager weiter zu kompromittieren und seitlichen Bewegungen innerhalb des Netzwerks durchzuführen.
Die identifizierte Zero-Day-Schwachstelle betrifft FortiManager-Versionen 7.x und 6.x sowie FortiManager-Cloud-Versionen 7.x und 6.x. Darüber hinaus hat sie Auswirkungen auf ältere FortiAnalyzer-Modelle 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G und 3900E, sofern sie mindestens über eine Schnittstelle mit aktiviertem fgfm-Dienst und spezifischer Konfiguration verfügen.
Laut Censys, gibt es über 4K exponierte FortiManager-Admin-Portale online, von denen sich fast 30% in den USA befinden und ca. 20% der öffentlich zugänglichen Instanzen mit Microsoft Cloud verbunden sind. Es ist jedoch derzeit fraglich, wie viele dieser FortiManager-Geräte für CVE-2024-47575 anfällig sind, da es an ausreichenden Informationen zu den spezifisch genutzten Geräteversionen fehlt.
Um die Risiken der Ausnutzung von CVE-2024-47575 zu minimieren, hat Fortinet eine Empfehlung herausgegeben mit Workarounds, Patch-Updates und mehreren Minderungsoptionen für diejenigen, die nicht sofort das neueste Firmware-Update installieren können, wie das Blockieren unbekannter Geräte, die versuchen, sich zu registrieren (für FortiManager-Versionen 7.0.12 oder höher, 7.2.5 oder höher und 7.4.3 oder höher), die Implementierung von Local-In-Richtlinien zur Erlaubnislistung spezifischer IP-Adressen von FortiGates, die eine Verbindung herstellen dürfen (für Geräteeersionen 7.2.0 und höher), oder die Nutzung eines benutzerdefinierten Zertifikats (für Softwareversionen 7.2.2 und höher, 7.4.0 und höher sowie 7.6.0 und höher).
Die Zero-Day-Schwachstelle CVE-2024-47575 wurde in die CISA-Katalog der bekannten ausgenutzten Schwachstellen aufgenommen, um das Bewusstsein für Cybersicherheit zu erhöhen und Organisationen über die zunehmenden Risiken durch ihre Ausnutzung zu informieren. Da die Risiken von CVE-2024-47575 aufgrund ihres Potenzials für RCE und der Einfachheit der Ausnutzung nicht zu unterschätzen sind, werden Organisationen ermutigt, ihre proaktiven Verteidigungen zu erhöhen. SOC Prime’s vollständige Produktsuite für KI-gestützte Erkennungsentwicklung, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung hilft Sicherheitsteams, aufkommende Bedrohungen in den frühesten Angriffsphasen zu erkennen und die Cybersicherheitshaltung ihrer Organisation risikobasiert zu optimieren.
