Vulnérabilité critique 0-day dans FortiManager activement exploitée (FG-IR-24-423 alias FortiJump)
Résumé
Une vulnérabilité critique 0-day est activement exploitée (lien pour nos clients Managed Vulnerability Intelligence-watch ici). Cette 0-day a fait l'objet de discussions officieuses, avant que de premiers détails sur les versions affectées et corrigées soient donnés. Davantage d’informations ont ensuite été révélées dans un article de blog écrit par le chercheur en sécurité Kevin Beaumont et dans les commentaires de discussions Reddit.
Cette vulnérabilité critique affecte la majorité des versions de FortiManager de Fortinet, une solution utilisée pour gérer les produits de ce fournisseur, notamment les pare-feu FortiGate, en automatisant les opérations et déploiements de sécurité. Seules les instances exposées publiquement semblent avoir été compromises à ce jour.
Le bulletin de sécurité est disponible publiquement à cette URL de Fortinet et concerne un problème d'authentification dans le démon fgfmd (protocole FortiGate vers FortiManager) qui permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le Manager. Le score CVSS v3.1 de la vulnérabilité est évalué à 9,8 par le fournisseur.
Aucun détail sur les groupes d'attaquants ayant exploité le 0-day n'a été fourni, mais le procédé montre une similitude frappante avec les précédentes activités d'APT chinois. En effet, cette compromission massive d'une solution de sécurité périmétrique est similaire aux campagnes précédemment identifiées contre Fortigate et VPN SSL ou des pares-feux d'autres fournisseurs majeurs. Ce type d’attaques avancées est généralement mené par des acteurs étatiques, souvent dans un but d'espionnage ou de pré-positionnement dans des réseaux sensibles.
Des logs spécifiques et des adresses IP ont été fournies par Fortinet pour rechercher une éventuelle compromission des FortiManager. Si de premières reconnaissances massives ont été identifiées à partir de la mi-juillet, l’exploitation massive a surtout eu lieu le 22 septembre.
Le niveau de menace de cet avis est donc considéré comme très élevé (5/5, niveau de gravité maximal).
Les administrateurs des quelques milliers d’instances FortiManager exposées sont invités à vérifier immédiatement si leurs dispositifs ont été exposés depuis juillet et, le cas échéant, s’ils ont été compromis en utilisant les indicateurs de compromission fournis par Fortinet. En effet, les attaquants ont pu utiliser les accès obtenus sur FortiManager pour voler des fichiers de configuration (y compris des secrets d'authentification), ot ont également pu utiliser ces accès pour tenter de pivoter vers les pares-feux FortiGate ou modifier leurs configurations de sécurité, entre autres.
Mise à jour 2, 06-11-2024 - Correction pour FortiManager 0-day CVE-2024-47575 contournée par WatchTowr, mais détails/PoC non publiés publiquement
Ce bulletin d'alerte a été fourni à nos clients souscrivant à un service managé le 06/11/2024 à 11h59.
Pour rappel, une exploitation massive des instances FortiManager exposées a été observée les 22 et 23 septembre, comme indiqué dans notre bulletin d’alerte initial ci-dessous. Il est néanmoins probable qu'une utilisation plus limitée et ciblée de la vulnérabilité 0-day. Par exemple, NCC Group a détecté des tentatives d'exploitation potentielles dès mai, et nous soupçonnons que les adversaires aient commencé encore plus tôt en préparant une partie de l'infrastructure nécessaire et en menant des reconnaissances initiales.
Nous anticipons que des groupes d'attaquants plus avancés sont déjà ou seront bientôt capables d'exploiter la vulnérabilité. Des chercheurs en vulnérabilité de WatchTowr ont, par exemple, confirmé avoir trouvé comment exploiter la CVE-2024-47575. Heureusement, aucun détail n'a encore été révélé publiquement. Ils ont également annoncé avoir réussi à compromettre une instance FortiManager entièrement patchée via un PoC fonctionnel contournant la correction publiée dans les dernières versions (en utilisant la version 7.6.1 dans leur exemple). La liste précise des versions affectées n'a pas été divulguée, mais nous pensons que les mêmes branches sont vulnérables.
Cette nouvelles exploitation n'a pas encore de numéro CVE, mais est surnommée "fortijump-higher". WatchTowr a annoncé avoir contacté Fortinet et attendra que le fournisseur publie un avis avant de divulguer des détails techniques. Un avis concernant ce contournement est disponible pour nos clients du service [Managed Vulnerability Intelligence – watch] à cette adresse.
Fortinet n'a pas encore réagi publiquement aux découvertes de WatchTowr, mais a mis à jour plus tôt l'avis initial (le 30 octobre), en ajoutant deux nouvelles adresses IP des attaquants qui ont exploité CVE-2024-47575, un nouveau numéro de série de dispositif frauduleux exploité et des notes sur la solution provisoire fournie. Ces adresses IP supplémentaires, qui ne proviennent pas du même fournisseur d'hébergement initial (Vultr), sont :
- 80.66.196.199 (PS : également mentionnée dans un commentaire VirusTotal, et détectée le 24 octobre),
- 172.232.167.68 (signalée par une tierce partie de confiance à Fortinet).
De nouveaux adversaires peuvent avoir réussi à mettre la main sur l'exploit ou à rétro-ingéniérer les correctifs pour l'identifier. D'autres IP suspectes, identifiées en open-source ou par nos équipes et partenaires, sont disponibles uniquement pour nos clients du service [Managed Threat Intelligence – detect], via notre plateforme Datalake.
Les nouveaux numéros de série vus exploités par Fortinet incluent :
- FMG-VMTM19008093 (fourni dans l'avis mis à jour de Fortinet),
- FMG-VMTM1900809 (non confirmé : trouvé dans le commentaire VirusTotal pour la nouvelle adresse IP mentionnée ci-dessus, mais probablement similaire au premier numéro FMG, juste avec le dernier chiffre manquant).
Fortinet a également indirectement listé toutes les informations secrètes FortiGate (c'est-à-dire les identifiants) que vous devriez modifier en cas de suspicion de compromission ici.
Une autre page de support explique comment provisionner un nouvel appareil Fortigate si la solution provisoire (utilisant “set fgfm-deny-unknown enable”) reste active.
Le niveau de risque reste très élevé pour le moment, même si aucun rapport public d'activités post-exploitation n'a encore émergé.
Ce que vous devez faire
La plateforme Datalake d'Orange Cyberdefense fournit un accès aux Indicateurs de Compromission (IoCs) associés à cette menace, qui sont automatiquement intégrés dans nos services de détection managés. Cela permet de procéder à une recherche proactive des IoCs si vous êtes abonné à notre service de détection managé incluant la recherche de compromission.Si vous souhaitez que nous priorisions le traitement de ces IoCs lors de votre prochaine recherche de compromission, veuillez faire une demande via votre portail client MTD ou contacter votre représentant.
Le service MTI [protect] d'Orange Cyberdefense offre la possibilité d'intégrer automatiquement les IoCs liés au réseau dans vos solutions de sécurité. Pour en savoir plus sur ce service et découvrir quelles solutions de pare-feu, de proxy et d'autres fournisseurs sont prises en charge, veuillez contacter votre représentant Orange Cyberdefense Trusted Solutions.
Qu'est-ce que cela signifie ?
L'avis de sécurité de Fortinet (FG-IR-24-423) explique qu'un attaquant distant possédant un certificat Fortinet valide extrait d'une appliance ou d’une VM Fortinet, pourrait envoyer des requêtes forgées pour exécuter des commandes API arbitraires. Cette vulnérabilité provient d'une absence d'authentification sur une fonction spécifique, impactant le démon fgfmd.
À la mi-juillet, une activité de scan massive par l’un des serveurs malveillants identifiés, loué par les attaquants, a été détectée, vraisemblablement pour une reconnaissance préalable. Le 22 septembre (et le 23), une campagne d'exploitation massive a été lancée contre de nombreuses instances exposées identifiées, compromettant des milliers de dispositifs. Quelques milliers d'instances exposées ont été identifiées en ligne, en utilisant des scanners passifs tels que Censys, et ces actifs sont ceux qui risquent spécifiquement d’être compromis.
Mise à jour 1, 24-10-2024 – Bulletin d’alerte sur FortiJump (CVE-2024-47575) 0-day publié, plus d'IOC et de correctifs disponibles
Le bulletin de Fortinet concernant la vulnérabilité 0-day a été finalement publié quelques heures après notre bulletin d’alerte. Il révèle notamment le numéro CVE attribué à cette vulnérabilité : CVE-2024-47575.
L'avis comprend une 4e adresse IP (45.32.63[.]2) que nous avons obtenue par un de nos partenaires. Cette adresse IP appartient aux groupes d’attaquants, mais nous ne l'avons pas directement observée dans nos premières missions de réponse aux incidents. Nous vous conseillons néanmoins de rechercher aussi le trafic TCP de ou vers cette IP, uniquement sur les ports suspects (541/443). Si vous recherchez dans les journaux en utilisant des IoC réseau, nous vous recommandons d'étendre la recherche avant le 1er septembre et idéalement jusqu'au 22 juin, considérant que Mandiant a publié un rapport confirmant que les activités malveillantes ont commencé dès le 27 juin.
Par ailleurs, Mandiant a annoncé avoir détecté au moins 50 instances compromises : ce chiffre est bien en deçà du nombre réel que nous estimons actuellement, entre 1 000 et 3 000 instances. NB : Plus de 60 000 instances sont à priori identifiables en utilisant des requêtes simples sur des scanners passifs comme Shodan. Ces chiffres incluent des dispositifs FortiGate en plus de FortiManager, ainsi que des honeypots, et ce chiffre ne peut être considéré comme une valeur fiable.
Mandiant a attribué un identifiant pour cette campagne, UNC5820, sans l'associer à un acteur de menace connu. Ils n'ont pas non plus mentionné son origine chinoise présumée. Mandiant a également confirmé nos propres conclusions sur les données exfiltrées spécifiques.
Dans la deuxième campagne d'exploitation massive autour du 22 septembre, les chercheurs ont identifié un artefact supplémentaire en plus du “numéro FMG”. La présence de l’adresse e-mail jetable et/ou du nom d’entreprise ci-dessous indique une infection très probable :
SerialNumber=FMG-VMTM23017412|AccountID=0qsc137p@justdefinition.com|Company=PuritySupreme|UserID=1756868
Des indicateurs relatifs à la machine pourraient également confirmer une infection réussie :
• /tmp/[.]tm
• /fds/data/unreg_devices[.]txt (NB : avec le hash MD5 = 9dcfab171580b52deae8703157012674)
• /fds/data/subs.dat[.]tmp
• /fds/data/subs[.]dat
Les autres indicateurs fournis incluent une 5e adresse IP utilisée par les attaquants : 195.85.114[.]78. Aucune information supplémentaire n'est disponible sur cet IoC pour le moment.
Des correctifs sont désormais disponibles pour 5 des 6 branches prévues :
- 7.4.5 : 2024-10-17
- 7.2.8 : 2024-10-18
- 7.0.13 : 2024-10-22
- 6.2.13 : 2024-10-23
- 6.4.15 : 2024-10-24
- 7.6.1 : 2024-10-24
L'avis de Fortinet a également été mis à jour pour confirmer que les instances FortiManager Cloud sont également impactées (sauf pour la dernière branche, 7.6) :
FortiManager Cloud | Branches affectées | : |
7.6 | Non affecté | Non applicable |
7.4 | 7.4.1 à 7.4.4 | Mettre à niveau vers 7.4.5 ou plus |
7.2 | 7.2.1 à 7.2.7 | Mettre à niveau vers 7.2.8 ou plus |
7.0 | 7.0.1 à 7.0.12 | Mettre à niveau vers 7.0.13 ou plus |
6.4 | Toutes versions | Migrer vers une version corrigée |
Même si Mandiant n'a partagé aucune activité post-exploitation supplémentaire, le niveau de risque associé à cet avis reste très élevé (5/5) pour l'instant.
Que devez-vous faire ?
La plateforme Datalake d'Orange Cyberdefense fournit un accès aux Indicateurs de Compromission (IoC) liés à cette menace, qui sont automatiquement intégrés dans nos services de Managed Threat Detection. Cela permet une recherche proactive des IoC si vous êtes abonné à notre service de Managed Threat Detection incluant la recherche de marqueurs. Si vous souhaitez que nous priorisions la recherche de ces IoC, veuillez faire une demande via votre portail client MTD ou contacter votre représentant commercial.
Le service Managed Threat Intelligence [Protect] d'Orange Cyberdefense offre la possibilité d’ajouter automatiquement les IoC réseau dans vos solutions de sécurité. Pour en savoir plus sur ce service et pour découvrir quelles solutions pare-feu, proxy et autres solutions de fournisseurs sont prises en charge, veuillez contacter votre représentant Solutions de Confiance Orange Cyberdefense.
Versions concernées :
• FortiManager versions 7.6.0
• FortiManager versions 7.4.4 et antérieures
• FortiManager versions 7.2.7 et antérieures
• FortiManager versions 7.0.12 et antérieures
• FortiManager versions 6.4.14 et antérieures
• (Versions en fin de support 6.2.x possiblement concernées également)
Les correctifs sont publiés progressivement par le fournisseur et des solutions de contournement ont également été partagées (voir notre section « Ce que vous devez faire »). Nous classons le niveau de menace de ce bulletin d’alerte comme étant de 5 sur 5, le niveau maximal possible de notre côté.
Correctifs pour le 0-day
Fortinet a publié les versions suivantes de FortiManager pour corriger cette vulnérabilité :
- 7.4.5
- 7.2.8
- 7.0.13
- 6.2.13
- 6.4.15
- 7.6.1
Solution de contournement fournie par Fortinet
Pour les versions antérieures à 7.6, il est recommandé de prévenir les tentatives d'enregistrement d'appareils inconnus en utilisant la configuration suivante :
# config system global
(global)# set fgfm-deny-unknown enable
(global)# end
Il est également proposé d'ajouter des politiques locales pour autoriser uniquement les adresses IP des FortiGate autorisés à se connecter. Dans la mesure du possible, l'accès à FortiManager devrait toujours être restreint aux seules sources de confiance.
Fortinet fournit des entrées de journaux à surveiller, qui, si elles sont trouvées, indiquent une compromission hautement probable :
• type=event,subtype=dvm,pri=information,desc=”Device,manager,generic,information,log”,user=”device, …”,msg=”Unregistered device localhost add succeeded” device=”localhost” adom=”FortiManager” session_id=0 operation=”Add device” performed_on=”localhost” changes=”Unregistered device localhost add succeeded”
• type=event,subtype=dvm,pri=notice,desc=”Device,Manager,dvm,log,at,notice,level”,user=”System”,userfrom=””,msg=”” adom=”root” session_id=0 operation=”Modify device” performed_on=”localhost” changes=”Edited device settings (SN FMG-VMTM23017412)”
Un appareil enregistré avec le numéro de série “FMG-VMTM23017412” est ainsi un indicateur très fiable. Nous ne connaissons aucun autre numéro FMG utilisé à ce jour.
Les adresses IP attribuées aux attaquants ayant exploité ce 0-day ont été fournies par l’éditeur :
• 45.32.41[.]202
• 104.238.141[.]143
• 158.247.199[.]37
• 45.32.63[.]2
Nous avons confirmé que les quatre adresses ci-dessus ont bien été identifiées dans les incidents que nous avons analysés. Le trafic TCP établi vers et depuis ces IPs sur le port 541 et/ou 443 doit être spécifiquement vérifié, en particulier autour du 22 septembre.
En cas de compromission confirmée, nous vous recommandons de ne pas mettre à jour l'instance, mais de réinstaller intégralement une version corrigée, en restaurant des données de sauvegarde datant d’avant la compromission, c'est-à-dire au moins avant le 21 septembre.
Annexe
FortiManager vulnérabilité critique 0-day exploitée dans la nature (FG-IR-24-423 alias FortiJump)
23/10/2024 10:58 GMT
Liens internes :
https://portal.cert.orangecyberdefense.com/vulns/78313
https://portal.cert.orangecyberdefense.com/worldwatch/advisory/1627
Liens externes :
https://www.fortiguard.com/psirt/FG-IR-24-423
https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=services.software.product%3D%60FortiManager%60
https://www.helpnetsecurity.com/2024/10/21/fortimanager-critical-vulnerability/
https://doublepulsar.com/burning-zero-days-fortijump-fortimanager-vulnerability-used-by-nation-state-in-espionage-via-msps-c79abec59773
https://www.reddit.com/r/fortinet/comments/1g9wlcn/comment/ltautu4/
Datalake :
https://datalake.cert.orangecyberdefense.com/gui/search?query_hash=6fc2b93ae10e9317fb41be135ac005e0