Dalam upaya keamanan siber bersama, Mandiant dan Fortinet telah mengungkap kerentanan signifikan yang mempengaruhi perangkat FortiManager yang dilacak sebagai CVE-2024-47575 (FG-IR-24-423). Kerentanan ini memungkinkan aktor ancaman untuk mengekploitasi FortiManager secara luas dan mengeksekusi perintah yang tidak sah atau mendapatkan akses ke lingkungan perusahaan yang sensitif.

Detail Eksploitasi

Investigasi Mandiant mengungkapkan kluster ancaman yang ditandai UNC5820, yang secara aktif mengeksploitasi kerentanan ini sejak 27 Juni 2024.

• Para penyerang menggunakan perangkat FortiManager yang terkompromi untuk mengakses dan mengekstrak data konfigurasi dari perangkat FortiGate yang dikelola.
• Data ini mencakup konfigurasi sistem yang mendetail, metadata pengguna, dan kata sandi yang di-hash dengan FortiOS256.

Informasi ini dapat memungkinkan penyerang untuk mengkompromikan perangkat Fortinet tambahan, berpotensi meningkatkan akses mereka dalam jaringan perusahaan.

Dua contoh kunci dari eksploitasi ditemukan:

1. Pada 27 Juni 2024, penyerang menggunakan koneksi masuk dari alamat IP 45.32.41.202, memicu pembuatan file yang tidak sah.
2. Pada 23 September 2024, koneksi masuk lainnya dikombinasikan dengan lalu lintas jaringan keluar menunjukkan upaya lebih lanjut untuk mengekstrak file konfigurasi sensitif.

Meskipun aktivitas yang diamati, tidak ada bukti langsung bahwa data konfigurasi digunakan untuk pergerakan lateral atau kompromi yang lebih dalam. Mandiant menekankan bahwa motivasi aktor dan asal geografis tetap tidak diketahui.

Indikator dan Temuan Teknis

Kerentanan ini memungkinkan penyerang untuk mengunggah arsip terkompresi Gzip bernama /tmp/.tm yang berisi data konfigurasi Fortinet yang kritis, log yang relevan, dan pengaturan perangkat. Lalu lintas keluar selanjutnya mengirimkan file-file ini ke server yang dikendalikan oleh penyerang.

Beberapa indikator kompromi (IOC) yang diidentifikasi:

• Perangkat tidak sah terdaftar di konsol FortiManager.
• Entri mencurigakan, seperti nomor seri yang tidak sah dan akun email sekali pakai, ditemukan dalam file sistem Fortinet.
• Tanggal dan aktivitas jaringan tertentu yang selaras dengan upaya eksploitasi (misalnya, lalu lintas keluar dengan ukuran paket yang cocok dengan data yang dipentaskan).

Mandiant juga mengamati artefak dari peristiwa "tunnel up", yang menandakan potensi aktivitas command-and-control (C2).

Fortinet dan Mandiant telah mengambil langkah cepat:

• Google Cloud Threat Intelligence menghubungi pelanggan yang terkena dampak, melakukan pencarian ancaman retroaktif, dan mengembangkan aturan deteksi untuk menandai upaya eksploitasi.
• Advisory Fortinet memberikan peringatan awal dan mendesak klien untuk menerapkan langkah-langkah pencegahan, seperti membatasi akses ke portal FortiManager dan menolak perangkat FortiGate yang tidak sah.

Strategi Mitigasi

Untuk mengurangi risiko eksploitasi, organisasi disarankan untuk:

1. Batasi Akses: Batasi akses portal admin FortiManager hanya untuk alamat IP yang disetujui.
2. Tolak Perangkat Tidak Dikenal: Blokir perangkat FortiGate yang tidak sah dari berasosiasi dengan FortiManager.
3. Perbarui Perangkat: Pastikan semua perangkat Fortinet diperbarui dengan patch keamanan terbaru untuk menutup kerentanan yang ada.
4. Monitor Aktivitas Jaringan: Lakukan pemantauan aktif terhadap lalu lintas jaringan untuk mendeteksi aktivitas mencurigakan yang dapat menunjukkan upaya eksploitasi.
5. Audit Konfigurasi: Lakukan audit rutin terhadap konfigurasi perangkat untuk memastikan tidak ada perubahan yang tidak sah.

Kesimpulan

Kerentanan 0-day pada perangkat FortiManager ini menunjukkan pentingnya menjaga keamanan siber yang proaktif. Dengan langkah-langkah mitigasi yang tepat dan pemantauan yang berkelanjutan, organisasi dapat melindungi diri dari potensi ancaman yang dapat merusak integritas dan kerahasiaan data mereka. Keberhasilan dalam mengatasi kerentanan ini sangat bergantung pada kolaborasi antara penyedia layanan keamanan dan pengguna akhir untuk memastikan bahwa semua langkah pencegahan diambil secara efektif.