Fortinet ha recentemente rivelato un'importante vulnerabilità di sicurezza che sta interessando FortiManager, un componente critico nella gestione delle reti. Questa vulnerabilità, etichettata come CVE-2024-47575 e con un punteggio CVSS di 9.8, è stata denominata FortiJump. È radicata nel protocollo FortiGate to FortiManager (FGFM) e permette a un attaccante remoto non autenticato di eseguire codice o comandi arbitrari attraverso richieste appositamente create. Le versioni di FortiManager colpite includono le serie 7.x e 6.x, oltre a FortiManager Cloud e modelli più vecchi di FortiAnalyzer che abbiano almeno un'interfaccia con il servizio fgfm attivo.

Soluzioni per mitigare la minaccia

Per mitigare questa minaccia, Fortinet ha suggerito diverse soluzioni a seconda della versione di FortiManager in uso. Per le versioni 7.0.12 o superiori, 7.2.5 o superiori, e 7.4.3 o superiori, è consigliato prevenire la registrazione di dispositivi sconosciuti. Le versioni 7.2.0 e superiori dovrebbero aggiungere politiche locali per consentire solo gli indirizzi IP autorizzati di FortiGate. Le versioni 7.2.2 e superiori possono utilizzare un certificato personalizzato per una maggiore sicurezza.

Dettagli della vulnerabilità

Un aspetto critico di questa vulnerabilità è che l'attaccante deve possedere un certificato valido del dispositivo Fortinet, il quale potrebbe essere ottenuto e riutilizzato da un dispositivo esistente. Le azioni identificate degli attacchi osservati finora includono l'automazione tramite script per l'esfiltrazione di file contenenti IP, credenziali e configurazioni dei dispositivi gestiti. Tuttavia, finora non ci sono prove che la vulnerabilità sia stata sfruttata per l'installazione di malware o backdoor sui sistemi compromessi.

Coinvolgimento dell'Agenzia per la Cybersecurity

L'Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) ha aggiunto questa vulnerabilità al suo catalogo di vulnerabilità conosciute e sfruttate, richiedendo alle agenzie federali di applicare le correzioni entro il 13 novembre 2024. Fortinet ha enfatizzato il suo impegno nel comunicare prontamente le informazioni critiche e le risorse necessarie ai clienti, seguendo le migliori pratiche per la divulgazione responsabile. L'azienda ha pubblicato un avviso pubblico con linee guida di mitigazione e aggiornamenti sulle patch, esortando i clienti a seguire le indicazioni fornite e a monitorare la pagina degli avvisi per ulteriori aggiornamenti.

Sfruttamento e attribuzione

Mandiant, di proprietà di Google, ha attribuito lo sfruttamento di massa dei dispositivi FortiManager a un nuovo cluster di minacce denominato UNC5820. Sono stati identificati almeno 50 dispositivi potenzialmente compromessi in varie industrie, con prove di sfruttamento risalenti al 27 giugno 2024. Nonostante non ci siano prove di movimenti laterali o ulteriori compromissioni post-sfruttamento, le motivazioni e le origini di UNC5820 restano incerte.