Detección de CVE-2024-47575: Vulnerabilidad de la API de FortiManager Explotada en Ataques de Día Cero
Tabla de contenidos:
Los atacantes lanzan frecuentemente ataques de alto perfil al explotar RCE vulnerabilidades en productos de software populares. Los investigadores de ciberseguridad han identificado recientemente la explotación generalizada de instancias de FortiManager, con más de 50 dispositivos potencialmente comprometidos a través de múltiples sectores industriales. Los defensores divulgaron una vulnerabilidad crítica en la API de FortiManager, rastreada como CVE-2024-47575, que fue explotada en ataques de día cero por adversarios para ejecutar código o comandos arbitrarios y robar archivos sensibles que contienen configuraciones, direcciones IP y credenciales para dispositivos gestionados.
Detectar Intentos de Explotación de CVE-2024-47575
Un nuevo día trae otra vulnerabilidad crítica bajo explotación activa. Esta vez, los expertos en seguridad han revelado un defecto de seguridad en las instancias de FortiManager, que ha permitido que se utilice un exploit de ejecución remota de código en estado activo. Se ha vinculado a un nuevo actor de amenazas, rastreado por Mandiant bajo el identificador UNC5820, con esta explotación.
Para adelantarse a posibles ataques, los defensores cibernéticos pueden aprovechar la Plataforma SOC Prime, que ofrece reglas de detección relevantes y un conjunto completo de herramientas para la detección avanzada de amenazas, la búsqueda automatizada de amenazas y la ingeniería de detección potenciada por IA.
Para detectar intentos de explotación de CVE-2024-47575, eche un vistazo a la regla Sigma dedicada del equipo SOC Prime:
La regla es compatible con 16 soluciones de análisis de seguridad y está mapeada al marco MITRE ATT&CK®, abordando la táctica de Acceso Inicial con la técnica correspondiente de Explotación de Aplicación Pública (T1190).
Explore el conjunto de detección más amplio dirigido a la detección de CVE emergentes haciendo clic en el Explorar Detecciones botón. Los profesionales de seguridad pueden obtener un contexto de amenazas cibernéticas detallado acompañado de referencias ATT&CK y enlaces CTI, así como obtener metadatos útiles personalizados para las necesidades específicas de su organización para una investigación de amenazas optimizada.
Análisis de CVE-2024-47575
En octubre de 2024, Mandiant se asoció con investigadores de Fortinet para investigar la explotación masiva que apunta a más de 50 dispositivos FortiManager en múltiples industrias. La vulnerabilidad de día cero altamente crítica explotada con un puntaje CVSS de 9.8, identificada como CVE-2024-47575, permite a los actores de amenazas aprovechar dispositivos FortiManager no autorizados bajo su control para realizar RCE.
Según el aviso de Fortinet, CVE-2024-47575 podría permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas debido a la falta de autenticación para una función crítica [CWE-306] en el demonio fgfmd de FortiManager.
Mandiant ha identificado un nuevo grupo de amenazas, UNC5820, potencialmente vinculado a la explotación de CVE-2024-47575, que ha estado armando una vulnerabilidad desde junio de 2024. Los adversarios exfiltraron datos de configuración de dispositivos FortiGate gestionados, incluidas configuraciones detalladas y contraseñas hash FortiOS256 de usuarios. Estos datos podrían dar luz verde a UNC5820 para comprometer aún más a FortiManager y realizar actividades de movimiento lateral dentro de la red.
La vulnerabilidad de día cero identificada afecta a las versiones de FortiManager 7.x y 6.x, así como a las versiones de FortiManager en la nube 7.x y 6.x. Además, impacta a los modelos más antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, y 3900E, siempre que tengan al menos una interfaz con el servicio fgfm habilitado y la configuración específica habilitada.
Según el Censys, hay más de 4K portales de administración de FortiManager expuestos en línea, con casi el 30% de estos ubicados en EE. UU. y aproximadamente el 20% de las instancias accesibles públicamente vinculadas a Microsoft Cloud. Sin embargo, actualmente se cuestiona cuántos de estos dispositivos FortiManager son vulnerables a CVE-2024-47575, ya que no hay información suficiente sobre las versiones específicas de dispositivos en uso.
Para minimizar los riesgos de la explotación de CVE-2024-47575, Fortinet ha emitido un aviso con soluciones alternativas, actualizaciones de parches y varias opciones de mitigación para aquellos que no pueden instalar la actualización de firmware más reciente de inmediato, como bloquear dispositivos desconocidos que intenten registrarse (para versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior y 7.4.3 o superior), implementar políticas locales para permitir una lista blanca de direcciones IP específicas de FortiGates permitidas para conectarse (para versiones de dispositivos 7.2.0 y superiores), o aprovechar un certificado personalizado (para versiones de software 7.2.2 y superiores, 7.4.0 y superiores, y 7.6.0 y superiores).
La vulnerabilidad de día cero CVE-2024-47575 ha sido incluida en el catálogo de Vulnerabilidades Conocidas Explotadas de CISA para aumentar la conciencia sobre ciberseguridad y notificar a las organizaciones sobre los crecientes riesgos que plantea su explotación. Dado que los riesgos de CVE-2024-47575 no pueden subestimarse debido a su potencial de RCE y facilidad de explotación, se anima a las organizaciones a elevar sus defensas proactivas. El suite completa de productos de SOC Prime para ingeniería de detección potenciada por IA, búsqueda automatizada de amenazas y detección avanzada de amenazas ayuda a los equipos de seguridad a identificar amenazas emergentes en las primeras etapas de ataque y optimizar los riesgos de la postura de ciberseguridad de su organización.
