Новости FortiJump: Fortinet признала 0Day в критической инфраструктуре

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
История одной уязвимости от приватных писем к официальному раскрытию.


ep4ujiifuhd3ab3xx6ydyqpyz2i23r2a.jpg


Fortinet Для просмотра ссылки Войди или Зарегистрируйся о новой уязвимости FortiManager, получившей название «FortiJump». Согласно Для просмотра ссылки Войди или Зарегистрируйся Mandiant, уязвимость активно использовалась в zero-day атаках с июня 2024 года, что привело к компрометации более 50 серверов.

Ранее в интернете Для просмотра ссылки Войди или Зарегистрируйся о наличии уязвимости FortiManager, после того как Fortinet разослала уведомления своим клиентам в частном порядке. Сегодня компания подтвердила наличие проблемы, указав, что она связана с отсутствием аутентификации в API «FortiGate to FortiManager Protocol» (FGFM).

Злоумышленники могли воспользоваться уязвимостью, регистрируя свои устройства FortiManager и FortiGate на уязвимых серверах, используя поддельные сертификаты. Подключившись к серверу, даже если устройство не было авторизовано, атакующие получали возможность выполнять команды API и похищать данные конфигураций управляемых устройств.

Fortinet выпустила обновления для устранения уязвимости Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) и предложила меры для предотвращения эксплуатации, такие как ограничение доступа по IP-адресам и использование команды для блокировки неизвестных устройств.

С июня 2024 года уязвимость использовалась хакерской группировкой UNC5820, которая скомпрометировала устройства FortiManager и похитила конфигурационные данные управляемых устройств FortiGate, включая пароли пользователей, зашифрованные алгоритмом FortiOS256. Украденные данные могли бы быть использованы для дальнейшей компрометации FortiManager и других устройств в корпоративной сети.

В первом зафиксированном нападении киберпреступники зарегистрировали неавторизованное виртуальное устройство FortiManager. В процессе атаки были созданы несколько файлов, содержащих данные о сервере FortiManager и управляемых устройствах, а также архив с информацией об устройствах FortiGate и данные об устройстве хакеров, включая серийный номер и электронную почту.

Несмотря на кражу данных, Mandiant пока не нашла доказательств использования данных для дальнейшего проникновения в сети или устройства FortiGate. Специалисты предполагают, что информация уже может быть неактуальной, так как клиенты Fortinet, скорее всего, изменили свои учётные данные и приняли дополнительные меры безопасности.

Mandiant продолжает расследование, однако пока не смогла установить мотивы атак и местоположение хакеров. В дальнейшем, по мере появления новой информации, специалисты обновят свои выводы.
 
Источник новости
www.securitylab.ru

Похожие темы