Rilevamento CVE-2024-47575: Vulnerabilità API di FortiManager sfruttata in attacchi Zero-Day

[post-views]
Ottobre 28, 2024 · 5 min di lettura
Rilevamento CVE-2024-47575: Vulnerabilità API di FortiManager sfruttata in attacchi Zero-Day

Gli aggressori lanciano frequentemente attacchi di alto profilo sfruttando RCE vulnerabilità nei prodotti software popolari. I ricercatori di cybersecurity hanno recentemente identificato lo sfruttamento diffuso delle istanze di FortiManager, con oltre 50 dispositivi potenzialmente compromessi attraverso vari settori industriali. I difensori hanno divulgato una vulnerabilità critica dell’API di FortiManager, monitorata come CVE-2024-47575, che è stata sfruttata in attacchi zero-day dagli avversari per eseguire codice arbitrario o comandi e rubare file sensibili contenenti configurazioni, indirizzi IP e credenziali per i dispositivi gestiti.

Rileva Tentativi di Sfruttamento CVE-2024-47575

Un nuovo giorno porta un’altra vulnerabilità critica sotto sfruttamento attivo. Questa volta, gli esperti di sicurezza hanno divulgato un difetto di sicurezza nelle istanze di FortiManager, che ha permesso l’uso di un exploit di esecuzione di codice da remoto. Un nuovo attore della minaccia, tracciato da Mandiant con l’identificativo UNC5820, è stato collegato a questo sfruttamento.

Per stare avanti rispetto a potenziali attacchi, i difensori cibernetici possono sfruttare la piattaforma SOC Prime, che offre regole di rilevamento pertinenti e un pacchetto completo di strumenti per il rilevamento avanzato delle minacce, la caccia automatica alle minacce e l’ingegneria del rilevamento potenziata dall’AI.

Per individuare tentativi di sfruttamento di CVE-2024-47575, esamina la regola Sigma dedicata dal team di SOC Prime:

Possibile Tentativo di Sfruttamento CVE-2024-47575 (Fortiguard FortiManager Autenticazione Mancante) (via server web)

La regola è compatibile con 16 soluzioni di analisi della sicurezza e mappata al quadro MITRE ATT&CK®, affrontando la tattica di Accesso Iniziale con la tecnica di Sfruttamento Applicazione Esposizione Pubblica (T1190) come tecnica corrispondente.

Esplora l’ampia pila di rilevamento mirata alla rilevazione di CVE emergenti cliccando sul Esplora Rilevamenti pulsante. I professionisti della sicurezza possono ottenere un contesto di minaccia cibernetica approfondito accompagnato da riferimenti ATT&CK e link CTI, oltre che ottenere metadati azionabili su misura per i bisogni specifici dell’organizzazione per una ricerca delle minacce ottimizzata.

Esplora Rilevamenti

Analisi di CVE-2024-47575

Nell’ottobre 2024, Fortinet ha collaborato con i ricercatori Mandiant per indagare sullo sfruttamento di massa che bersaglia oltre 50 dispositivi FortiManager in vari settori. La vulnerabilità zero-day altamente critica sfruttata, con un punteggio CVSS di 9.8, identificata come CVE-2024-47575, consente agli attori della minaccia di sfruttare dispositivi FortiManager non autorizzati sotto il loro controllo per eseguire RCE.

Secondo il consiglio di Fortinet, CVE-2024-47575 potrebbe consentire a un attaccante remoto e non autenticato di eseguire codice o comandi arbitrari tramite richieste appositamente create a causa della mancanza di autenticazione per una funzione critica [CWE-306] nel demone fgfmd di FortiManager.

Mandiant ha identificato un nuovo cluster di minaccia, UNC5820, potenzialmente collegato allo sfruttamento di CVE-2024-47575, che ha utilizzato una vulnerabilità dal giugno 2024. Gli avversari hanno esfiltrato dati di configurazione dai dispositivi FortiGate gestiti, comprese configurazioni dettagliate e password FortiOS256-hashate degli utenti. Questi dati potrebbero dare a UNC5820 il via libera per compromettere ulteriormente FortiManager ed eseguire movimenti laterali all’interno della rete.

La vulnerabilità zero-day identificata colpisce le versioni 7.x e 6.x di FortiManager, nonché le versioni Cloud di FortiManager 7.x e 6.x. Inoltre, impatta i modelli più vecchi di FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, e 3900E, a condizione che abbiano almeno un’interfaccia con il servizio fgfm abilitato e la configurazione specifica attivata.

Secondo il Censys, ci sono oltre 4K portali admin FortiManager esposti online, con quasi il 30% di questi situati negli Stati Uniti e circa il 20% delle istanze accessibili pubblicamente collegate a Microsoft Cloud. Tuttavia, è attualmente in dubbio quanti di questi dispositivi FortiManager siano vulnerabili a CVE-2024-47575, poiché non ci sono informazioni sufficienti riguardo le specifiche versioni dei dispositivi in uso.

Per ridurre i rischi di sfruttamento di CVE-2024-47575, Fortinet ha emanato un avviso con soluzioni alternative, aggiornamenti delle patch e diverse opzioni di mitigazione per coloro che non possono installare immediatamente l’aggiornamento del firmware più recente, come bloccare dispositivi sconosciuti dal tentativo di registrazione (per le versioni FortiManager 7.0.12 o superiori, 7.2.5 o superiori, e 7.4.3 o superiori), implementare policy locali per permettere liste di indirizzi IP specifici di FortiGates autorizzati a connettersi (per le versioni del dispositivo 7.2.0 e successive), o sfruttare un certificato personalizzato (per le versioni software 7.2.2 e superiori, 7.4.0 e superiori, e 7.6.0 e superiori).

La vulnerabilità zero-day CVE-2024-47575 è stata inclusa nel catalogo CISA delle Vulnerabilità Sfruttate Note per aumentare la consapevolezza sulla cybersecurity e informare le organizzazioni dei crescenti rischi posti dal suo sfruttamento. Poiché i rischi di CVE-2024-47575 non possono essere sottovalutati a causa del suo potenziale per l’RCE e la facilità di sfruttamento, le organizzazioni sono incoraggiate a migliorare le loro difese proattive. La suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento potenziata dall’AI, la caccia automatica alle minacce e il rilevamento avanzato delle minacce aiuta i team di sicurezza a identificare le minacce emergenti nelle prime fasi dell’attacco e ad ottimizzare il rischio del proprio assetto di cybersecurity. per l’ingegneria del rilevamento potenziata dall’AI, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce aiuta i team di sicurezza a identificare minacce emergenti nelle prime fasi di un attacco e ad ottimizzare la postura di cybersecurity dell’organizzazione.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko