Fortinet : la faille de sécurité FortiJump est exploitée par les pirates depuis juin 2024 !
D'après un nouveau rapport publié par les experts de Mandiant, la nouvelle faille de sécurité surnommée "FortiJump" découverte dans Fortinet FortiManager serait exploitée depuis juin 2024 dans le cadre d'attaques ! Faisons le point.
La faille de sécurité FortiJump, associée à la référence CVE-2024-47575, se situe dans l'API FGFM (FortiGate to FortiManager Protocol) créée par Fortinet.
Pour exploiter cette vulnérabilité, les cybercriminels doivent avoir le contrôle sur un équipement FortiManager ou FortiGate, disposant de certificats valides, afin de venir s'enregistrer sur n'importe quelle instance FortiManager exposée. À partir de là, les attaquants peuvent exécuter des commandes à distance sur le FortiManager, par l'intermédiaire de l'API, et ainsi voler des informations de configuration.
Pour rappel, il y aurait environ 60 000 serveurs FortiManager exposés sur Internet à l'échelle mondiale. La bonne nouvelle, c'est que des correctifs de sécurité sont disponibles, comme nous l'évoquions dans notre précédent article. Fortinet a aussi partagé des mesures d'atténuation pour se protéger, notamment le filtrage par adresse IP sur les connexions ou le fait de bloquer l'enregistrement des appareils inconnus via cette commande :
set fgfm-deny-unknown enableUne vulnérabilité exploitée en tant que zero-day depuis juin 2024
Grâce au nouveau rapport publié par les chercheurs en sécurité de chez Mandiant, nous apprenons qu'un groupe de cybercriminels, traqué avec le nom UNC5820, exploite cette vulnérabilité depuis le 27 juin 2024.
Ce rapport donne aussi des précisions sur les données volées par les pirates : "Ces données contiennent des informations détaillées sur la configuration des appareils gérés ainsi que les utilisateurs et leurs mots de passe FortiOS256 hachés. Ces données pourraient être utilisées par UNC5820 pour compromettre davantage le FortiManager, se déplacer latéralement vers les dispositifs Fortinet gérés, et finalement cibler l'environnement de l'entreprise."
Pour les cybercriminels, FortiManager représente une vraie porte d'entrée sur le réseau de l'organisation ciblée. Néanmoins, dans les attaques observées, les attaquants ne semblent pas avoir été plus loin que le serveur FortiManager. Mandiant n'a pas été en mesure de déterminer précisément l'objectif du groupe UNC5820.
Toujours d'après Mandiant, les pirates ont exploité cette faille de sécurité pour tenter de compromettre au moins 50 serveurs FortiManager : "En octobre 2024, Mandiant a collaboré avec Fortinet pour enquêter sur l'exploitation massive d'appareils FortiManager sur plus de 50 appareils FortiManager potentiellement compromis dans divers secteurs d'activité.", peut-on lire.
Le rapport évoque plusieurs adresses IP malveillantes, dont l'adresse IP 45[.]32[.]41[.]202 qui semble être la première utilisée par les pirates dans le cadre de ces attaques. Le serveur contrôlé par les attaquants s'appelait "FortiManager-VM" et lors de cette attaque, plusieurs fichiers ont été créés : /tmp/.tm, /fds/data/unreg_devices.txt, /fds/data/subs.dat.tmp et /fds/data/subs.dat
Si vous utilisez FortiManager, nous vous recommandons de patcher votre serveur ou d'ajuster sa configuration pour vous protéger d'éventuelles attaques liées à la CVE-2024-47575.
