Opasna FortiJump ranjivost (CVE-2024-47575)

FortiJump ranjivost je identifikovana u Fortinet FortiManager protokolu i trenutno je pod aktivnom eksploatacijom. Sigurnosni istraživač Kevin Beaumont rasvetlio je ovo pitanje, otkrivajući potencijalnu aktivnost kampanje koju sponzoriše država.

FortiJump

Opasna FortiJump ranjivost (CVE-2024-47575); Source: Bing Image Creator

FORTIJUMP RANJIVOST

FortiJump ranjivost, označena kao CVE-2024-47575 sa CVSS sa ocjenom 9.8, odnosi se na ranjivost nultog dana (eng. zeroday) otkrivenu u Fortinet FortiManager (FGFM) protokolu za FortiManager i FortiManager Cloud. Ova ranjivost omogućava neautorizovanom, udaljenom zlonamjernom akteru koji koristi važeći FortiGate certifikat da registruje neovlaštene uređaje u FortiManager konzoli. Izvještaji pokazuju da je ova ranjivost nultog dana eksploatisana u digitalnom prostoru od najmanje 27. juna 2024. godine, pri čemu je otkriveno preko 50 potencijalno kompromitovanih FortiManager uređaja u različitim industrijama.

U suštini ranjivosti leži FGFM protokolu, koji je odgovoran za komunikaciju između FortiManager i FortiGate uređaja. Ranjivost omogućava zlonamjernim akterima da iskoriste slabosti u načinu autentifikacije ovih uređaja. Registrovanjem lažnog FortiGate uređaja sa FortiManager konzolom, zlonamjerni akter može dobiti kontrolu nad upravljanim zaštitnim zidovima i pristupiti osjetljivim konfiguracijskim podacima.

Dobijanje certifikata od FortiGate uređaja je relativno lako, kako je izvijestio Beaumont na forumima kao što je Infortinet. Ovo olakšava zlonamjernim akterima da iskoriste ranjivost bez otkrivanja. Upotreba FortiGate uređaja povezanih prema Internetu dodatno povećava rizik od uspješne eksploatacije, pošto su ovi uređaji izloženiji i dostupniji potencijalnim zlonamjernim akterima.

Prema rezultatima sa platforme Shodan, postoji skoro 60.000 FortiManager uređaja koji su povezani prema Internetu, uključujući preko 13.000 u Sjedinjenim Američkim Državama, preko 5.800 u Kini, skoro 3.000 u Brazilu i 2.300 u Indiji. Najveće organizacije sa ranjivim FortiGate uređajima uključuju Aliyun Computing Co., LTD, Comcast Comcast Cable Communications, LLC, Chunghwa Telecom Co.,Ltd., Charter Communications Inc i Charter Communications.

UNC5820 je nova grupa prijetnji kojoj je Google Mandiant pripisao aktivnostima eksploatacije na FortiJump (CVE-2024-47575) ranjivosti nultog dana. Do 23. oktobra, Mandiant nije mogao da utvrdi lokaciju ili motivaciju iza UNC5820 grupe. Zapaženo je da klaster iskorištava ovu ranjivost najmanje od 27. juna 2024. godine, a identifikovano je preko 50 potencijalnih žrtava u različitim zemljama i industrijama.

 

UTICAJ

Potencijalne posljedice neuspjeha u rješavanju ranjivosti FortiJump (CVE-2024-47575) su ozbiljne. Oni mogu dovesti do ugrožavanja podataka, kompromitovanja sistema i drugih incidenata u sajber bezbjednosti koji bi mogli imati dalekosežne implikacije za organizacije. Kao priznanje za ove rizike, Agencija za sajber bezbjednost i bezbjednost infrastrukture (eng. Cybersecurity and Infrastructure Security Agency – CISA) je dodala CVE-2024-47575 ranjivost u svoj katalog poznatih eksploatisanih ranjivosti (KEV). Ova akcija naglašava hitnost za sve savezne agencije u Sjedinjenim Američkim Državama da isprave ovu ranjivost do 13. novembra 2024. godine.

Otkriće FortiJump ranjivosti izazvalo je zabrinutost u vezi sa bezbjednosnim mjerama koje je primijenila kompanija Fortinet. Na Reddit platformi su postojali izvještaji da je Fortinet proaktivno obavijestio kupce koji koriste FortiManager o ranjivosti prije objavljivanja ispravki, iako neki korisnici kažu da nikada nisu dobili nikakva obavještenja. U saopštenju, kompanija Fortinet je rekla da je “blagovremeno prenijela kritične informacije i resurse kupcima. Ovo je u skladu sa našim procesima i najboljom praksom za odgovorno otkrivanje podataka kako bi se omogućilo klijentima da ojačaju svoj bezbjednosni stav pre nego što obavještenje bude javno objavljen široj publici, uključujući zlonamjerne aktere.”

Sljedeća tabela sadrži listu pogođenih proizvoda, verzija i ažuriranih verzija:

 

Pogođeni proizvodi Pogođene verzije Ažurirane verzije
FortiManager 6.2 6.2.0 do 6.2.12 Ažurirati na 6.2.13 ili novije
FortiManager 6.4 6.4.0 do 6.4.14 Ažurirati na 6.4.15 ili novije
FortiManager 7.0 7.0.0 do 7.0.12 Ažurirati na 7.0.13 ili novije
FortiManager 7.2 7.2.0 do 7.2.7 Ažurirati na 7.2.8 ili novije
FortiManager 7.4 7.4.0 do 7.4.4 Ažurirati na 7.4.5 ili novije
FortiManager 7.6 7.6.0 Ažurirati na 7.6.1 ili novije
FortiManager Cloud 6.4 6.4 sve verzije Preći na ispravljenu verziju
FortiManager Cloud 7.0 7.0.1 do 7.0.12 Ažurirati na 7.0.13 ili novije
FortiManager Cloud 7.2 7.2.1 do 7.2.7 Ažurirati na 7.2.8 ili novije
FortiManager Cloud 7.4 7.4.1 do 7.4.4 Ažurirati na 7.4.5 ili novije
FortiManager Cloud 7.6 Nema uticaja Nema uticaja

ZAKLJUČAK

Otkriće FortiJump ranjivosti naglašava važnost budnosti u današnjem digitalnom prostoru. Široko rasprostranjena izloženost FortiManager uređaja sa internetom povećava rizik od eksploatacije od strane zlonamjernih aktera koji žele da dobiju neovlašteni pristup osjetljivim podacima ili poremete kritične sisteme. Hitnost rješavanja ranjivosti CVE-2024-47575 i njenih potencijalnih posljedica ne može se precijeniti. Propust da se reaguje blagovremeno može dovesti do katastrofalnih ishoda kao što su ugrožavanje podataka, sistemski kompromisi i drugi ozbiljni incidenti u vezi sa sajber bezbjednošću.

Pored toga, pojava UNC5820 koji iskorištava ovu ranjivost naglašava važnost saradnje između sigurnosnih istraživača, organizacija i vlada u efikasnoj borbi protiv ovih sofisticiranih prijetnji. Dijeljenje obavještajnih podataka, koordinacija odgovora i udruživanje resursa su od suštinskog značaja za suzbijanje naprednih trajnih prijetnji (eng. Advanced persistent threat – APT) kao što je UNC5820.

FortiJump ranjivost nultog dana takođe naglašava potrebu za proaktivnim bezbjednosnim mjerama umjesto da se oslanja samo na reaktivne strategije. Redovna ažuriranja softvera, robusna segmentacija mreže, jake kontrole pristupa i obuka zaposlenih su ključne komponente sveobuhvatne strategije sajber bezbjednosti koja može pomoći organizacijama da ostanu korak ispred potencijalnih prijetnji.

 

ZAŠTITA

Kako bi se zaštitila organizacija od tekuće eksploatacije FortiJump ranjivosti CVE-2024-47575, od ključnog je značaja slijediti niz preporuka i primijeniti neophodne mjere. Evo pregleda koraka koji mogu preduzeti:

  1. Uvjeriti se da su sistemi na uređajima ažurirani najnovijim ispravkama preuzetih sa službenih izvora proizvođača. Dati prioritet kritičnim ažuriranjima poput onih koje se bave FortiJump ranjivošću, jer pomažu u jačanju bezbjednosnog položaja organizacije,
  2. Uspostaviti strategiju upravljanja ažuriranjima koja obezbjeđuje blagovremenu primjenu ažuriranja u svim pogođenim sistemima u organizaciji,
  3. Nadgledati izložene uređaje u potrazi za bilo kakvim znacima eksploatacije ili neobične aktivnosti. Alati kao što su Shodan, Censys ili BinaryEdge mogu pomoći u identifikaciji izloženih uređaja ka internetu,
  4. Sprovesti segmentaciju mreže da bi se izolovali kritični sisteme od manje osjetljivih. Ovo pomaže da se ograniči potencijalna šteta u slučaju da zlonamjerni akter uspije da iskoristi ranjivost unutar organizacije,
  5. Primijeniti sisteme za otkrivanje i prevenciju upada (eng.Intrusion Detection and Prevention Systems – IDPS) širom mreže organizacije da bi se otkrio i spriječio svaki sumnjivi saobraćaj povezan sa CVE-2024-47575 ili sličnim prijetnjama. Ovo pomaže da se rano identifikuju potencijalni napadi, omogućavajući da se brzo preduzmu akcije kako bi se ublažila prijetnja,
  6. Održavati robusne prakse bezbjednosnog nadzora i evidentiranja širom mreže. Redovno pregledati evidenciju za bilo kakve znakove pokušaja eksploatacije u vezi sa CVE-2024-47575 ili drugim ranjivostima. Ovo pomaže da se rano identifikuju potencijalne prijetnje, omogućavajući da se brzo preduzmu akcije kako bi se ublažila prijetnja,
  7. Obučiti svoje osoblje najboljim praksama za siguran daljinski pristup i rukovanje osjetljivim podacima. Obrazovati ih o rizicima povezanim sa CVE-2024-47575 ranjivošću i kako oni mogu pomoći u zaštiti organizacije od potencijalnih napada,
  8. Potreban je dobro definisan Plan odgovora na sajber prijetnju da bi se brzo identifikovalo i odgovorilo na potencijalne prijetnje kao što je FortiJump ranjivost. Ovaj plan treba da sadrži korake za obuzdavanje, iskorjenjivanje, oporavak i analizu nakon incidenta kako bi se smanjio uticaj napada na organizaciju,
  9. Sarađivati sa drugim organizacijama, industrijskim grupama i platformama za obavještavanje o prijetnjama da bi se dijelile informacije o tekućim prijetnjama u vezi sa CVE-2024-47575 ranjivošću ili sličnim ranjivostima. Ovo pomaže organizacijama da ostanu informisane o najnovijim dešavanjima i da prilagodite svoju odbranu u skladu sa tim.

 

Prateći ove preporuke, organizacije se mogu zaštiti od tekuće eksploatacije CVE-2024-47575 (FortiJump) ranjivosti i mogu zadržati jak bezbjednosni stav u današnjem okruženju prijetnji koje se stalno razvija.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.