Deteção CVE-2024-47575: Vulnerabilidade da API do FortiManager Explorada em Ataques Zero-Day
Índice:
Os atacantes frequentemente lançam ataques de alto perfil explorando RCE vulnerabilidades em produtos de software populares. Pesquisadores de cibersegurança identificaram recentemente a exploração generalizada de instâncias do FortiManager, com mais de 50 dispositivos potencialmente comprometidos em diversos setores da indústria. Defensores divulgaram uma vulnerabilidade crítica na API do FortiManager, rastreada como CVE-2024-47575, que foi explorada em ataques de zero-day por adversários para executar códigos ou comandos arbitrários e roubar arquivos sensíveis contendo configurações, endereços IP e credenciais para dispositivos geridos.
Detectar Tentativas de Exploração da CVE-2024-47575
Um novo dia traz mais uma vulnerabilidade crítica sob exploração ativa. Desta vez, especialistas em segurança divulgaram uma falha de segurança em instâncias do FortiManager, que permitiu o uso de um exploit de execução remota de código em campo. Um novo ator de ameaça, rastreado pela Mandiant sob o identificador UNC5820, foi vinculado a essa exploração.
Para se antecipar a potenciais ataques, os defensores cibernéticos podem aproveitar a Plataforma SOC Prime, que oferece regras de detecção relevantes e uma suíte completa de ferramentas para detecção avançada de ameaças, caça de ameaças automatizada e engenharia de detecção com inteligência artificial.
Para identificar tentativas de exploração da CVE-2024-47575, consulte a regra Sigma dedicada pela equipe SOC Prime:
A regra é compatível com 16 soluções de análise de segurança e mapeada para o framework MITRE ATT&CK®, abordando a tática de Acesso Inicial com a técnica de Exploração de Aplicações voltadas ao Público (T1190) como técnica correspondente.
Explore o conjunto de detecção mais amplo voltado para a detecção de CVEs emergentes clicando no Explorar Detecções botão. Profissionais de segurança podem obter contexto aprofundado de ameaças cibernéticas acompanhado por referências ATT&CK e links CTI, bem como obter metadados acionáveis adaptados a necessidades específicas de sua organização para uma pesquisa de ameaça simplificada.
Análise da CVE-2024-47575
Em outubro de 2024, a Mandiant fez parceria com pesquisadores da Fortinet para investigar a exploração em massa que visou mais de 50 dispositivos FortiManager em vários setores. A vulnerabilidade de zero-day altamente crítica explorada, com um score CVSS de 9.8, identificada como CVE-2024-47575, permite que atores de ameaça utilizem dispositivos FortiManager não autorizados sob seu controle para realizar RCE.
De acordo com o aviso da Fortinet, a CVE-2024-47575 poderia permitir que um atacante remoto e não autenticado executasse códigos ou comandos arbitrários através de solicitações especialmente criadas devido à falta de autenticação para uma função crítica [CWE-306] no daemon fgfmd do FortiManager.
A Mandiant identificou um novo cluster de ameaça, UNC5820, possivelmente vinculado à exploração da CVE-2024-47575, que tem usado uma vulnerabilidade como arma desde junho de 2024. Adversários exfiltraram dados de configuração de dispositivos FortiGate gerenciados, incluindo configurações detalhadas e senhas de usuários FortiOS256 com hash. Esses dados poderiam dar a UNC5820 o sinal verde para comprometer ainda mais o FortiManager e realizar atividades de movimento lateral dentro da rede.
A falha de zero-day identificada afeta as versões 7.x e 6.x do FortiManager, bem como as versões 7.x e 6.x do FortiManager Cloud. Além disso, impacta modelos mais antigos do FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G e 3900E, desde que tenham pelo menos uma interface com o serviço fgfm habilitado e a configuração específica ativada.
De acordo com Censys, existem mais de 4K portais de administração do FortiManager expostos online, com quase 30% desses localizados nos EUA e aproximadamente 20% das instâncias acessíveis publicamente vinculadas à Microsoft Cloud. Ainda está em questão quantos desses dispositivos FortiManager são vulneráveis à CVE-2024-47575, pois há informações insuficientes sobre as versões específicas dos dispositivos em uso.
Para minimizar os riscos de exploração da CVE-2024-47575, a Fortinet emitiu um aviso com soluções alternativas, atualizações de patches e várias opções de mitigação para aqueles que não conseguem instalar imediatamente a atualização de firmware mais recente, como bloquear dispositivos desconhecidos de tentarem se registrar (para versões do FortiManager 7.0.12 ou superior, 7.2.5 ou superior, e 7.4.3 ou superior), implementar políticas locais de entrada para permitir listas específicas de endereços IP de FortiGates permitidos para conexão (para versões de dispositivos 7.2.0 e acima), ou usar um certificado personalizado (para versões de software 7.2.2 e acima, 7.4.0 e acima, e 7.6.0 e acima).
A vulnerabilidade de zero-day CVE-2024-47575 foi incluída no catálogo de Vulnerabilidades Exploradas Conhecidas da CISA para aumentar a conscientização sobre cibersegurança e notificar as organizações sobre os riscos crescentes decorrentes de sua exploração. Como os riscos da CVE-2024-47575 não podem ser subestimados devido ao seu potencial de RCE e facilidade de exploração, as organizações são encorajadas a elevar suas defesas proativas. A suíte completa de produtos da SOC Prime para engenharia de detecção com inteligência artificial, caça de ameaças automatizada e detecção avançada de ameaças ajuda as equipes de segurança a identificar ameaças emergentes nos estágios iniciais de ataques e a otimizar o risco da postura de cibersegurança de sua organização. for AI-powered detection engineering, automated threat hunting, and advanced threat detection helps security teams identify emerging threats at the earliest attack stages and risk-optimize their organization’s cybersecurity posture.
