Shadowserver je izdao kritično upozorenje o široko rasprostranjenoj eksploataciji Fortinet FortiManager uređaja koristeći nedavno otkrivenu ranjivost CVE-2024-47575.
Sa CVSS rezultatom od 9,8/10, ova kritična mana omogućava neautorizovanim udaljenim napadačima da izvrše proizvoljan kod ili komande na pogođenim sistemima.
Ranjivost, nazvana “ FortiJump ”, potiče od nedostajuće autentifikacije za kritičnu funkciju u FortiManager-ovom fgfmd demonu.
Fortinet je potvrdio da se mana aktivno iskorištavala u divljini, pri čemu su se napadači prvenstveno fokusirali na eksfiltraciju osjetljivih podataka s narušenih uređaja.
Specijalni izvještaj Shadowserver-a kategorizira pogođene uređaje u dvije grupe: one za koje je potvrđeno da su narušeni (označeni kao “CVE-2024-47575-kompromitovani”) i oni koji su ciljani, ali nisu potvrđeni kao narušeni (označeni kao “CVE-2024-47575-ciljani”).
Osim ako opsežna forenzička analiza ne dokaže suprotno, organizacija snažno preporučuje tretiranje svih ciljanih uređaja kao potencijalno ugroženih.
Izvještaj naglašava da narušeni uređaji mogu imati više IP adresa ili su mogli proći kroz NAT uređaje, što komplikuje proces identifikacije.
Shadowserver naglašava hitnost promjene kredencijala, uključujući lozinke i podatke osjetljive na korisnike, za sve upravljane uređaje povezane sa pogođenim FortiManager sistemima.
Mandiant je pripisao napade pretnji akteru praćenom kao UNC5820. Njihova analiza otkriva da je kampanja eksploatacije u toku od najmanje 27. juna 2024., ciljajući preko 50 FortiManager uređaja u različitim industrijama.
Masovni kompromis naglašava kritičnu prirodu ranjivosti i brzu eksploataciju od strane hakera.
Organizacijama koje koriste FortiManager se snažno savjetuje da odmah primjene zakrpe koje pruža Fortinet ili implementiraju preporučena rješenja ako zakrpe nisu izvodljive.
Specijalni izvještaj Shadowserver-a ima za cilj da obavijesti potencijalne žrtve o ovom značajnom kršenju, čak i ako su se događaji dogodili izvan njihovog uobičajenog 24-satnog perioda za izvještavanje.
Organizacija vjeruje da će dijeljenje ovih retrospektivnih podataka pružiti značajne koristi njihovim biračima, omogućavajući im da preduzmu potrebne radnje kako bi osigurali svoje sisteme.
Kako situacija nastavlja da se razvija, stručnjaci za kibernetičku sigurnost pozivaju organizacije da ostanu budne, prate indikatore kompromisa i odmah prijave sve sumnjive aktivnosti u vezi s njihovim FortiManager implementacijama.
Izvor: CyberSecurityNews
