Af Eskil Sørensen, 25/10/24
Center for Cybersikkerhed har udsendt et varsel om 0-dagssårbarheden i FortiManager, som vi skrev om den 22. oktober. Anledningen til varslet er, at CFCS har observeret forsøg på udnyttelse af sårbarheden ”flere steder” i sensornetværket.
Og dette giver så yderligere anledning til en anbefaling fra CFCS, om at man hurtigst muligt ”opdaterer sårbare instanser, samt undersøger disse for tegn på kompromittering.”
I modsætning til for et par dage siden har sårbarheden nu fået et id-nummer, nemlig CVE-2024-47575, og en score på CVSS-skalaen på 9,8. Årsagen til den høje score er, at en aktør ved brug af en FortiManager-instans kan tilgå sårbare FortiManager-enheder, som er eksponeret til internettet uden at have brugerrettigheder. Dette gør det muligt at køre ondsindet kode på den sårbare enhed, hvilket kan give fuld adgang til netværket.
Det fremgår, at it-sikkerhedsvirksomheden Mandiant har set den udnyttet siden den 27. juni 2024, men patchet kom altså først for nyligt.
DKCERT anbefaler ligesom CFCS, at sårbare instanser opdateres, og at sårbare enheder undersøges for tegn på kompromittering. CFCS tilføjer i sit varsel, at det - ved tegn på kompromittering - anbefales, at enheden nulstilles og konfigureres på ny. Derudover bør enheder, som har været administreret af FortiManager-instansen, få nulstillet deres loginoplysninger.
CFCS opfordrer til, at "indikatorer, tekniske konklusioner samt anden relevant viden om hændelsen i størst muligt omfang deles med Center for Cybersikkerhed og sektorens DCIS".
Flere medier har også beskrevet om sagen. Vejledning til håndtering af sårbarheden fremgår af hovedkilden, Fortiguards advisory.
Links:
https://www.fortiguard.com/psirt/FG-IR-24-423
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?e=48754805
https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/
https://www.darkreading.com/vulnerabilities-threats/critical-bug-exploited-fortinet-management-console
https://www.securityweek.com/new-fortinet-zero-day-exploited-for-months-before-patch-release/
https://www.bankinfosecurity.com/hackers-probing-newly-disclosed-fortinet-zero-day-a-26624
https://cyberscoop.com/fortinet-fortimanager-mandiant-unc5820-alert/
https://securityaffairs.com/170189/hacking/fortijump-flaw-exploited-since-june-2024.html