Een pas ontdekte kwetsbaarheid in FortiManager van netwerk- en securityspecialist Fortinet is al sinds juni dit jaar actief misbruikt. Dit stellen de securityspecialisten van Google-dochter Mandiant in een recent onderzoek.
Volgens de Mandiant-specialisten wordt een nieuwe Fortimanager-kwetsbaarheid, bekend onder de naam ‘FortiJump’ of CVE-2024-47575, al sinds de maand juni van dit jaar actief misbruikt. De hackers die deze tot gisteren onbekende kwetsbaarheid misbruiken, zouden inmiddels verantwoordelijk zijn voor zero-day-aanvallen op meer dan 50 servers, geven de securityspecialisten aan.
Fortinet heeft pas onlangs het bestaan van de kwetsbaarheid openbaar gemaakt, nadat de afgelopen dagen al geruchten circuleerden over de actief misbruikte FortiManager-kwetsbaarheid. Dit naar aanleiding van een ‘advanced notification’ security-advies van de leverancier.
Details CVE-2024-47575
De FortiJump-kwetsbaarheid betreft een authenticatiefout in de FortiGate to FortiManager Protocol (FGFM) API. Deze fout stelt niet-geautoriseerde hackers in staat commando’s uit te voeren op de server en op beheerde Fortigate-devices.
Hackers kunnen de kwetsbaarheid misbruiken via gecontroleerde Fortimanager- en FortiGate-devices met geldige certificaten. Hiermee kunnen zij zich ongewild zich op iedere blootgestelde FortiManager-server registeren.
Wanneer het door hen gecontroleerde device met deze server is verbonden, kunnen zij de kwetsbaarheid misbruiken voor het draaien van API-commando’s op Fortimanager en daarmee de configuratiedata stelen van de via deze oplossing beheerde devices.
Half jaar lang ongepatcht
Fortinet heeft inmiddels patches en probleemoplossingen voor deze kwetsbaarheid uitgebracht, maar dat laat onverlet dat deze bijna een half jaar lang schade heeft kunnen aanrichten. Mandiant ontdekte bijvoorbeeld dat de hackers van UNC5820 als sinds 27 juni van dit jaar op deze manier aanvallen op Fortigate-installs uitvoeren en daarbij de configuratiegegevens hebben gestolen.
Hierbij ging het volgens de securityspecialisten niet alleen om gedetailleerde configuratiedata, maar ook om gebruikersgegevens en hun FortiOS256-gehashte wachtwoorden. Hiermee kunnen de hackers laterale aanvallen uitvoeren op andere beheerde Fortinet-apparatuur en daarmee de IT-netwerken van de slachtoffers verder binnendringen.
Fortinet zelf biedt bij zijn patches voor de kwetsbaarheid ook extra Indicators of compromise (IOC’s) naast bestrijdings- en herstelmethoden. Bijvoorbeeld lijsten van door aanvallers gebruikte IP-adressen en andere loginformatie. Hiermee kunnen klanten mogelijk gecompromitteerde FortiManager-servers opsporen.