Détection de CVE-2024-47575 : Vulnérabilité API de FortiManager Exploitée dans des Attaques Zero-Day

[post-views]
octobre 28, 2024 · 5 min de lecture
Détection de CVE-2024-47575 : Vulnérabilité API de FortiManager Exploitée dans des Attaques Zero-Day

Les attaquants lancent fréquemment des attaques de grande envergure en exploitant RCE des vulnérabilités dans des logiciels populaires. Les chercheurs en cybersécurité ont récemment identifié l’exploitation généralisée des instances FortiManager, avec plus de 50 appareils potentiellement compromis à travers divers secteurs industriels. Les défenseurs ont divulgué une vulnérabilité critique de l’API FortiManager, suivie comme CVE-2024-47575, qui a été exploitée dans des attaques zero-day par des adversaires pour exécuter du code ou des commandes arbitraires et voler des fichiers sensibles contenant des configurations, des adresses IP et des identifiants pour les appareils gérés.

Détecter les tentatives d’exploitation de CVE-2024-47575

Un jour nouveau apporte encore une autre vulnérabilité critique exploitée activement. Cette fois-ci, les experts en sécurité ont divulgué une faille de sécurité dans les instances FortiManager, qui a permis une exploitation par exécution de code à distance en circulation. Un nouvel acteur malveillant, suivi par Mandiant sous l’identifiant UNC5820, a été lié à cette exploitation.

Pour anticiper les attaques potentielles, les défenseurs peuvent tirer parti de la plateforme SOC Prime, qui offre des règles de détection pertinentes et une suite complète d’outils pour la détection avancée des menaces, la chasse automatisée aux menaces et l’ingénierie de détection alimentée par l’IA.

Pour repérer les tentatives d’exploitation de CVE-2024-47575, consultez la règle Sigma dédiée par l’équipe SOC Prime : 

Tentative d’exploitation possible de CVE-2024-47575 (Fortiguard FortiManager Missing Authentication) (via serveur web)

La règle est compatible avec 16 solutions d’analyse de sécurité et mappée sur le cadre MITRE ATT&CK®, abordant la tactique d’accès initial avec la technique Exploiter Application Accessible au Public (T1190) comme technique correspondante.

Explorez la pile de détection plus large visant la détection des CVE émergents en cliquant sur le Bouton Explorer les détections button. Les professionnels de la sécurité peuvent obtenir un contexte de menace cybernétique approfondi accompagné de références ATT&CK et de liens CTI, ainsi que des métadonnées exploitables adaptées aux besoins spécifiques de leur organisation pour une recherche de menace rationalisée.

Bouton Explorer les détections

Analyse de CVE-2024-47575

En octobre 2024, Mandiant s’est associé aux chercheurs de Fortinet pour enquêter sur l’exploitation massive visant plus de 50 appareils FortiManager à travers de multiples industries. La vulnérabilité zero-day extrêmement critique exploitée, avec un score CVSS de 9,8, identifiée comme CVE-2024-47575, permet aux acteurs malveillants de tirer parti des appareils FortiManager non autorisés sous leur contrôle pour effectuer des RCE.

Selon l’avis de Fortinet, CVE-2024-47575 pourrait permettre à un attaquant distant et non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues en raison de l’absence d’authentification pour une fonction critique [CWE-306] dans le démon fgfmd de FortiManager.

Mandiant a identifié un nouveau cluster de menace, UNC5820, potentiellement lié à l’exploitation de CVE-2024-47575, qui a armé une vulnérabilité depuis juin 2024. Les adversaires ont exfiltré des données de configuration depuis les appareils FortiGate gérés, y compris des configurations détaillées et des mots de passe FortiOS256 hachés par utilisateur. Ces données pourraient donner à UNC5820 le feu vert pour compromettre davantage FortiManager et réaliser des mouvements latéraux au sein du réseau.

La faille zero-day identifiée affecte les versions 7.x et 6.x de FortiManager, ainsi que les versions Cloud 7.x et 6.x de FortiManager. De plus, elle impacte les anciens modèles FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G et 3900E, à condition qu’ils aient au moins une interface avec le service fgfm activé et la configuration spécifique activée.

Selon Censys, il y a plus de 4K portails d’administration FortiManager exposés en ligne, avec près de 30% d’entre eux localisés aux États-Unis et environ 20% des instances accessibles publiquement liées à Microsoft Cloud. Cependant, il est actuellement incertain combien de ces appareils FortiManager sont vulnérables à CVE-2024-47575, car il manque des informations sur les versions spécifiques des appareils en usage.

Pour minimiser les risques d’exploitation de CVE-2024-47575, Fortinet a émis un avis avec des solutions de contournement, des mises à jour de correctifs et plusieurs options d’atténuation pour ceux qui ne peuvent pas installer immédiatement la dernière mise à jour du firmware, comme bloquer les périphériques inconnus essayant de s’enregistrer (pour les versions FortiManager 7.0.12 ou supérieur, 7.2.5 ou supérieur et 7.4.3 ou supérieur), mettre en œuvre des politiques locales pour autoriser des adresses IP spécifiques des FortiGates autorisés à se connecter (pour les versions d’appareils 7.2.0 et au-dessus), ou utiliser un certificat personnalisé (pour les versions logicielles 7.2.2 et au-dessus, 7.4.0 et au-dessus, et 7.6.0 et au-dessus).

La vulnérabilité zero-day CVE-2024-47575 a été incluse dans le catalogue de vulnérabilités connues exploitées de la CISA pour augmenter la sensibilisation à la cybersécurité et avertir les organisations des risques croissants posés par son exploitation. Comme les risques de CVE-2024-47575 ne peuvent être sous-estimés en raison de son potentiel de RCE et de sa facilité d’exploitation, les organisations sont encouragées à renforcer leurs défenses proactives. La suite complète de produits SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la détection avancée des menaces aide les équipes de sécurité à identifier les menaces émergentes aux premiers stades d’attaque et à optimiser le risque de leur posture de cybersécurité. for AI-powered detection engineering, automated threat hunting, and advanced threat detection helps security teams identify emerging threats at the earliest attack stages and risk-optimize their organization’s cybersecurity posture.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Blog, Dernières Menaces — 7 min de lecture
Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Veronika Telychko
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Blog, Dernières Menaces — 6 min de lecture
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Veronika Telychko
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Blog, Dernières Menaces — 6 min de lecture
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Veronika Telychko