概述
2024年10月,Mandiant与Fortinet合作调查了一起针对FortiManager设备的大规模攻击事件,涉及超过50台潜在被入侵的设备,受影响行业广泛。此次事件涉及的漏洞编号为CVE-2024-47575(https://www.cve.org/CVERecord?id=CVE-2024-47575) / FG-IR-24-423(https://www.fortiguard.com/psirt/FG-IR-24-423),攻击者可通过一台未经授权的、受控的FortiManager设备对存在漏洞的FortiManager设备执行任意代码或命令。
Mandiant发现,一个被命名为UNC5820的新威胁组织最早于2024年6月27日开始利用此FortiManager漏洞。UNC5820窃取并导出了被攻击FortiManager所管理的FortiGate设备的配置数据。这些数据包含了被管理设备的详细配置信息,以及用户账号和FortiOS256格式的密码哈希值。UNC5820可能利用这些数据进一步入侵FortiManager,横向移动到被管理的Fortinet设备,最终危害整个企业网络环境。
目前,Mandiant分析的数据源中并未记录攻击者利用FortiManager漏洞的具体请求细节。同时,我们暂未发现UNC5820利用获取的配置数据进行横向移动或深入入侵的证据。因此在发布本文时,我们缺乏足够的数据来评估攻击者的动机或来源。随着调查的深入,Mandiant将更新本文中关于攻击归属的评估结果。
如果贵组织的FortiManager设备暴露在互联网上,建议立即开展取证调查。
漏洞利用细节
Mandiant观察到的最早攻击尝试发生在2024年6月27日。当天,多台FortiManager设备在默认的TCP 541端口收到来自IP地址45[.]32[.]41[.]202的入站连接。几乎同时,文件系统记录了一个名为/tmp/.tm的gzip压缩包的创建,该压缩包包含以下文件和文件夹:
表1:/tmp/.tm的内容
| 文件名 | 描述 |
|---|---|
| /var/dm/RCS | 包含被管理的FortiGate设备配置文件的文件夹 |
| /var/dm/RCS/revinfo.db | 包含被管理FortiGate设备额外信息的数据库 |
| /var/fds/data/devices.txt | 包含FortiGate序列号及其对应IP地址的列表 |
| /var/pm2/global.db | 包含对象配置、策略包以及IPS头部和尾部传感器配置的全局数据库 |
| /var/old_fmversion | 包含当前FortiManager版本、构建和分支信息 |
2024年9月23日,Mandiant观察到第二次具有相同特征的攻击尝试。在这两次攻击事件中,都在归档文件创建后不久出现外发网络流量。发送到相应目标IP地址的字节数略大于归档文件的大小。表2列出了这些活动的详细信息:
表2:两次攻击尝试中配置数据暂存和外发流量的对应关系
| 时间戳 | 描述 | 大小 |
|---|---|---|
| 2024-06-27 12:44:04 | /tmp/.tm (文件创建) | 未知 |
| 2024-06-27 12:44:11 | 外发流量到195[.]85[.]114[.]78:443 | 1,819,425字节 |
| 2024-09-23 11:31:12 | /tmp/.tm (文件修改) | 1,772,650字节 |
| 2024-09-23 11:31:19 | 外发流量到104[.]238[.]141[.]143:443 | 1,822,968字节 |
在第二次攻击尝试期间,攻击者的设备被注册到了目标FortiManager上。图1显示了被添加到”全局对象”数据库中的未授权FortiManager及其添加时间戳。
攻击者成功利用FortiManager漏洞后,其未知的Fortinet设备出现在FortiManager控制台中。
成功利用漏洞的另一个迹象是未授权设备序列号”FMG-VMTM23017412″及其对应IP地址45[.]32[.]41[.]202被添加到/fds/data/unreg_devices.txt文件中。图3显示了该文件的内容:
FMG-VMTM23017412|45.32.41.202
图3:/fds/data/unreg_devices.txt的内容
文件/fds/data/subs.dat和/fds/data/subs.dat.tmp包含了攻击的其他指标,包括一个一次性邮箱地址和公司名称,如图4所示:
SerialNumber=FMG-VMTM23017412|AccountID=
[email protected]|Company=Purity Supreme|UserID=1756868
图4:/fds/data/subs.dat的内容
Mandiant对FortiManager的内存镜像进行了分析,发现了一个包含关键字”FMG-VMTM23017412″和”45[.]32[.]41[.]202″的JSON数据块。该数据块还包含一个”first_tunnel_up”键,其值为epoch时间1726999303,转换为UTC时间为2024-09-22 10:01:43。
未发现后续恶意活动
Mandiant检查了设备的rootfs.gz文件(一个挂载到/bin的initramfs RAM磁盘),未发现在攻击活动时间段内创建或修改的恶意文件。
Google Cloud已通知了环境中出现类似活动的受影响客户。此外,Google威胁情报团队在开发检测规则时进行了回溯搜索,并手动将预发布检测规则告警升级给受影响的SecOps客户,以协助检测针对Fortinet设备的漏洞利用尝试。
除了与Mandiant合作外,Fortinet还主动向客户发送了预警通知,使客户能够在漏洞公开披露前加强安全防护。
威胁行为者活动时间线
表3:活动时间线
| 时间戳 | 事件 |
|---|---|
| 2024-06-27 12:44:04 | 来自45[.]32[.]41[.]202的入站网络连接。/tmp/.tm文件创建。 |
| 2024-06-27 12:44:07 | 到45[.]32[.]41[.]202:443的出站网络连接。 |
| 2024-06-27 12:39:11 | 到195[.]85[.]114[.]78:443的出站网络连接。发送字节数约等于/tmp/.tm的大小。 |
| 2024-09-22 10:01:47 | 来自45[.]32[.]41[.]202的入站网络连接。 |
| 2024-09-22 10:01:50 | 到158[.]247[.]199[.]37:443和45[.]32[.]41[.]202:443的出站网络连接。到158[.]247[.]199[.]37的连接被拒绝。 |
| 2024-09-22 10:02:21 | /log/locallog/elog中显示漏洞利用的字符串:”msg=”Unregistered device localhost add succeeded”” |
| 2024-09-22 10:02:55 | 文件修改:/fds/data/unreg_devices.txt,内容:”FMG-VMTM23017412|45.32.41.202″ |
| 2024-09-22 10:07:36 | /log/locallog/elog中显示漏洞利用的字符串:”changes=”Edited device settings (SN FMG-VMTM23017412)”” |
| 2024-09-23 11:31:12 | 从45[.]32[.]41[.]202到目标端口541的入站网络连接。文件修改:/tmp/.tm |
| 2024-09-23 11:31:16 | 到104[.]238[.]141[.]143的出站网络连接。发送字节数约等于/tmp/.tm的大小。 |
缓解策略/临时解决方案
-
限制FortiManager管理门户仅允许经过批准的内部IP地址访问。
-
仅允许授权的FortiGate地址与FortiManager通信。
-
拒绝未知的FortiGate设备与FortiManager关联。
在7.2.5、7.0.12、7.4.3及更高版本中可用(在7.6.0版本中此临时解决方案无效):
config system global
set fgfm-deny-unknown enable
end
图7:拒绝未知设备的配置
威胁指标(IOCs)
注册用户可以访问Google威胁情报合集(https://www.virustotal.com/gui/collection/fee4323cebb88f025586fd9f3e7d0de183fd536fad2312d4ccccdb21f2f7185f/)获取IOC信息。
基于网络的IOCs
| IOC | 描述 |
|---|---|
| 45.32.41.202 | UNC5820 |
| 104.238.141.143 | UNC5820 |
| 158.247.199.37 | UNC5820 |
| 195.85.114.78 | UNC5820 |
基于主机的IOCs
| IOC | 描述 |
|---|---|
| .tm | 配置文件压缩包 |
| 9DCFAB171580B52DEAE8703157012674 | unreg_devices.txt的MD5哈希值 |
其他关键字
| 关键字 | 描述 |
|---|---|
| FMG-VMTM23017412 | 恶意Fortinet设备ID |
| msg=”Unregistered device localhost add succeeded” | /log/locallog/elog中显示漏洞利用的字符串 |
| changes=”Edited device settings (SN FMG-VMTM23017412)” | /log/locallog/elog中显示漏洞利用的字符串 |
| changes=”Added unregistered device to unregistered table.” | /log/locallog/elog中显示漏洞利用的字符串 |
| [email protected] | 在subs.dat和subs.dat.tmp中观察到的一次性邮箱地址,由威胁行为者创建 |
| Purity Supreme | 在subs.dat和subs.dat.tmp中观察到的信息 |
原文始发于微信公众号(独眼情报):FortiManager 0day利用分析报告(CVE-2024-47575)
