Korrekció: cikkünk előző verziójában tévesen írtuk azt, hogy a Fortnite nevű játék lenne érintett az ügyben.
A Mandiant legfrissebb jelentése rávilágít arra, hogy a Fortinet FortiManager szoftverében felfedezett „FortiJump” néven ismert biztonsági hiba (CVE-2024-47575) már 2024 júniusa óta több mint 50 szerveren vált célponttá nulladik napi támadások során – írja a Nemzeti Kibervédelmi Intézet magyar titkosszolgálat a honlapján.
A támadók érvényes tanúsítványokkal rendelkező FortiManager és FortiGate eszközöket használtak a kiszolgálókhoz való csatlakozáshoz, így hozzáférhettek az eszközök konfigurációs adataihoz anélkül, hogy engedéllyel rendelkeztek volna.
A Fortinet most nyilvánosságra hozta a hiba súlyosságát, amely egy hitelesítési probléma a FortiGate to FortiManager Protocol (FGFM) API-ban. Ennek következtében a támadók hitelesítés nélküli parancsokat tudtak végrehajtani a FortiManageren, valamint a FortiGate eszközökön. A Fortinet azonnal kiadta a hiba javítását és részletes információkat tett közzé a kárenyhítési és helyreállítási módszerekről, beleértve azokat az IP címeket és naplóbejegyzéseket is, amelyek a támadók észlelésére szolgálnak.
A Mandiant arra is rámutatott, hogy az UNC5820 néven nyomon követett fenyegető csoport már június 27. óta kihasználja ezt a sebezhetőséget. Az általuk megszerzett adatok tartalmazzák a FortiGate eszközök részletes konfigurációs adatait, valamint a felhasználók jelszavait is. Ezek az információk potenciálisan lehetőséget adhatnak a FortiManager további kompromittálására, illetve oldalirányú mozgásra a hálózaton belül.
Bár a támadók sikeresen megszereztek adatokat, a Mandiant jelentése szerint nem találtak bizonyítékot arra, hogy az UNC5820 felhasználta volna ezeket az információkat a további terjeszkedéshez a FortiGate eszközökön belül.
Az elemzés során nem észleltek rosszindulatú payloadokat vagy a rendszerfájlok manipulálásának nyomait.
Mivel a kezdeti támadások után nem volt további aktivitás, a Mandiant nem tudta meghatározni a fenyegető csoport célját vagy tartózkodási helyét. Az elemzők ígérik, hogy a helyzet alakulásáról folyamatosan tájékoztatják a nyilvánosságot, amint új információk válnak elérhetővé.
