自2024年6月以来，FortiJump漏洞CVE-2024-47575已在零日攻击中被利用

Mandiant称，自2024年6月以来，“FortiJump ”漏洞（CVE-2024-47575）已在零日攻击中被利用，影响超过50台服务器。

Mandiant发布的一份新报告指出，最近披露的Fortinet FortiManager漏洞 “FortiJump” CVE-2024-47575（CVSS v4评分：9.8）自2024年6月以来已在零日攻击中被利用，影响超过50台服务器。

该漏洞是 FortiManager 和 FortiManager Cloud 版本中的身份验证缺失问题，攻击者可通过特制请求执行任意代码或命令。

Fortinet 发布的公告称：“FortiManager fgfmd 守护进程中的一个关键功能认证缺失漏洞 [CWE-306] 可能允许远程未认证攻击者通过特制请求执行任意代码或命令。”

Fortinet 证实 CVE-2024-47575 漏洞已在野外被利用

“报告显示，该漏洞已在野外被利用。”Fortinet 补充说：“已确定的野外攻击行动是通过脚本从 FortiManager 自动渗出各种文件，其中包含受管设备的 IP、凭据和配置。”

本周，美国网络安全和基础设施安全局（CISA）将FortiJump列入其已知漏洞（KEV）目录。

Mandiant现在透露，它已经帮助Fortinet调查了针对FortiManager设备的攻击。

“2024年10月，Mandiant与Fortinet合作调查了针对FortiManager设备的大规模利用，涉及不同行业的50多台可能被入侵的FortiManager设备。”Mandiant发布的报告中写道。“该漏洞（CVE-2024-47575 / FG-IR-24-423）允许威胁行为者使用未经授权的、由威胁行为者控制的 FortiManager 设备，针对易受攻击的 FortiManager 设备执行任意代码或命令。”

威胁者可利用该漏洞注册恶意 FortiManager 和 FortiGate 设备，执行 API 命令，并窃取配置数据。

Mandiant 早在 2024 年 6 月 27 日就发现了一个利用 FortiManager 漏洞的新威胁集群，追踪名为 UNC5820。UNC5820入侵了FortiGate设备并外泄了配置数据，包括用户列表及其FortiOS256-hashed密码。

威胁者可利用外泄数据进一步入侵 FortiManager，实施横向移动，并在目标的基础设施中建立立足点。

“目前，Mandiant 分析的数据源没有记录威胁者利用 FortiManager 漏洞的具体请求。此外，在我们调查的现阶段，没有证据表明 UNC5820 利用获得的配置数据横向移动并进一步破坏环境。因此，在报告发布时，我们缺乏足够的数据来评估行为者的动机或位置。随着我们的调查获得更多信息，Mandiant 将更新本博客的归因评估。”

Mandiant于2024年6月27日首次观察到利用企图，当时多个FortiManager设备在默认端口TCP/541上接收到来自IP地址45[.]32[.]41[.]202的入站连接。这些设备的文件系统在名为 /tmp/.tm 的 Gzip 压缩档案中记录了各种 Fortinet 配置文件的分期。

2024 年 9 月 23 日，Mandiant 检测到了第二波具有类似指标的攻击。在这两种情况下，出站流量都紧随存档创建，发送的数据略微超出存档大小。

Mandiant 分析了目标设备上的 rootfs.gz 文件，但未发现与漏洞利用相关的恶意文件。谷歌云已向受影响的客户发出警报，并针对未来的 Fortinet 攻击尝试实施了检测措施。

Mandiant尚未能确定攻击者的动机，也尚未将该攻击活动归咎于已知的威胁行为者。

Mandiant敦促可能将FortiManager暴露在互联网上的企业进行取证调查。

Mandiant表示：“在发布时，我们缺乏足够的数据来评估攻击者的动机或位置。” Mandiant 总结道：“当我们通过调查获得更多信息时，Mandiant 将更新本博客的归因评估。

“可能将 FortiManager 暴露在互联网上的组织应立即进行取证调查。”

为降低与利用 FortiManager 漏洞相关的风险，可以实施几种策略。首先，只允许经批准的内部 IP 地址访问 FortiManager 管理门户。确保只允许授权的 FortiGate 设备与 FortiManager 通信，同时阻止任何未知 FortiGate 设备连接。此缓解措施在 FortiManager 7.2.5、7.0.12、7.4.3 及更高版本中可用。配置时，必须使用以下命令启用 “fgfm-deny-unknown ”设置：

config system global
    set fgfm-deny-unknown enable
end