Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

admin
admin
admin
138429
文章
113
评论
2024年10月25日14:26:52评论28 views字数 4342阅读14分28秒阅读模式

导 

根据 Mandiant 的最新报告,一种新的 Fortinet FortiManager 漏洞(被称为“FortiJump”),追踪编号为 CVE-2024-47575,自 2024 年 6 月以来已被利用对超过 50 台服务器进行0day攻击。

Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

自从 Fortinet 在一份预先通知安全公告中私下通知客户后,过去十天里,有关 FortiManager 0day漏洞被积极利用的谣言就一直在网上流传。

今天,Fortinet 终于披露了 FortiManager 漏洞,称这是 Fortinet 创建的“ FortiGate 到 FortiManager 协议”(FGFM)API中缺少身份验证的缺陷,允许未经身份验证的攻击者在服务器和管理的 FortiGate 设备上执行命令。

攻击者可以利用此漏洞,通过攻击者控制的具有有效证书的 FortiManager 和 FortiGate 设备将自己注册到任何暴露的 FortiManager 服务器。

一旦他们的设备连接上,即使处于未经授权的状态,他们也可以利用该漏洞在 FortiManager 上执行 API 命令并窃取有关受管设备的配置数据。

Fortinet 已发布针对 CVE-2024-47575 的补丁并提供了缓解措施,例如仅允许特定 IP 地址连接或阻止未知的 FortiGate 设备使用该 set fgfm-deny-unknown enable命令进行注册。

6 月以来一直被利用

Mandiant 报告称,追踪为 UNC5820 的威胁组织早在 2024 年 6 月 27 日就开始利用 FortiManager 设备0day

Mandiant 在新报告中指出:“UNC5820 窃取了被利用的 FortiManager 管理的 FortiGate 设备的配置数据。”

“这些数据包含受管设备以及用户及其 FortiOS256 散列密码的详细配置信息。”

“UNC5820 可以利用这些数据进一步入侵 FortiManager,横向移动到受管理的 Fortinet 设备,并最终瞄准企业环境。”

第一次观察到的攻击来自 45.32.41[.]202,当时威胁组织将未经授权的 FortiManager-VM 注册到暴露的 FortiManager 服务器。

该设备的名称为“localhost”,序列号为“FMG-VMTM23017412”,如下所示。

Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

攻击者控制的 FortiManager-VM,来源:Mandiant

Mandiant 表示,作为攻击的一部分,创建了四个文件:

  • /tmp/.tm - 一个 gzip 档案,包含有关托管 FortiGate 设备的泄露信息、有关 FortiManager 服务器的信息及其全局数据库。

  • /fds/data/unreg_devices.txt - 包含未注册设备的序列号和 IP 地址。

  • /fds/data/subs.dat.tmp - 未知

  • /fds/data/subs.dat-该文件包含攻击者控制的设备的序列号、用户ID、公司名称和电子邮件地址。

在第一次观察到的攻击中,电子邮件地址为“[email protected]”,公司名称为“Purity Supreme”。

Mandiant 表示,他们分析了受感染设备的内存,但未发现恶意负载或篡改系统文件的迹象。

虽然攻击者确实从设备中窃取了数据,但 Mandiant 表示没有迹象表明 UNC5820 利用这些敏感信息横向传播到管理的 FortiGate 设备或入侵网络。

此时,被盗数据对攻击者来说可能没有那么有价值,因为 Mandiant 和 Fortinet 已将攻击通知客户。希望客户修改了他们的凭证并采取了其他预防措施。

由于最初的攻击后没有后续活动,Mandiant 无法确定威胁组织的目标以及他们可能位于何处。

“因此,在发布时,我们缺乏足够的数据来评估攻击者的动机或位置。随着我们通过调查获得更多的信息,Mandiant 将更新此博客的归因评估。”Mandiant 解释道。

Fortinet 在其CVE-2024-47575 (FG-IR-24-423) 公告中分享了更多信息,包括缓解和恢复方法。该公告还包含其他 IOC,包括攻击者使用的其他 IP 地址和用于检测受感染的 FortiManager 服务器的日志条目。

参考链接:

Fortinet 官方安全公告:https://www.fortiguard.com/psirt/FG-IR-24-423

Mandiant 官方博客文章:https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575

新闻链接:

https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/

Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

今日安全资讯速递

APT事件

Advanced Persistent Threat

Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/

微软警告称外国虚假信息正从各个方向影响美国大选

https://www.wired.com/story/microsoft-russia-china-iran-election-disinformation/

美情报官员表示:俄罗斯网络部队可能煽动选举后暴力事件

https://cybernews.com/news/us-intelligence-russia-post-election-violence/

针对乌克兰政府和军队的最新攻击活动中使用了恶意 RDP 文件

https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/

一般威胁事件

General Threat Incidents

新型 Grandoreiro 银行恶意软件变种出现,采用先进策略逃避检测

https://thehackernews.com/2024/10/new-grandoreiro-banking-malware.html

勒索软件 Qilin.B 新变种出现,加密和规避策略有所改进

https://thehackernews.com/2024/10/new-qilinb-ransomware-variant-emerges.html

微软:医疗保健领域勒索软件攻击激增 300%

https://www.darkreading.com/cyberattacks-data-breaches/microsoft-healthcare-300-percent-surge-ransomware-attacks

“Prometei”僵尸网络在全球范围内传播其加密劫持程序

https://www.darkreading.com/threat-intelligence/prometei-botnet-cryptojacker-worldwide

Henry Schein 在勒索软件攻击一年后披露数据泄露事件

https://www.bleepingcomputer.com/news/security/henry-schein-discloses-data-breach-a-year-after-ransomware-attack/

CFPB 警告业界警惕“深度侵入式”工作场所数字监控

https://therecord.media/cfpb-warns-industry-against-workplace-surveillance

保险公司管理公司 Landmark 称数据泄露影响了 80 万人

https://therecord.media/landmark-admin-data-breach-insurance-industry

漏洞事件

Vulnerability Incidents

Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞

https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/

AWS 云开发工具包漏洞使用户面临潜在的账户接管风险

https://thehackernews.com/2024/10/aws-cloud-development-kit-vulnerability.html

思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html

Microsoft SharePoint 漏洞正受到积极利用

https://www.darkreading.com/vulnerabilities-threats/microsoft-sharepoint-vuln-active-exploit

Bitdefender 产品中发现多个高危漏洞

https://thecyberexpress.com/bitdefender-vulnerabilities/

CISA 警告近期 Microsoft SharePoint RCE 漏洞遭利用

https://www.securityweek.com/cisa-warns-recent-microsoft-sharepoint-rce-flaw-exploited-in-attacks/

Styra OPA 中的安全漏洞将 NTLM 哈希暴露给远程攻击者

https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html

Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Mandiant 称 Fortinet 的新漏洞自 6 月起被利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月25日14:26:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Mandiant 称 Fortinet 的新漏洞自 6 月起被利用https://cn-sec.com/archives/3313634.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息