В октябре 2024 года компания Mandiant совместно с компанией Fortinet провела расследование уязвимости FortiManager, которая позволяет злоумышленникам выполнить произвольный код на уязвимых устройствах FortiManager. Расследование обнаружило кластер угроз с кодовым именем UNC5820, который использовал эту уязвимость для получения конфигурационных данных устройств FortiGate. Эта информация была использована для дальнейшей компрометации окружения компании.
Описание
Исследование также показало, что злоумышленники эксплуатировали уязвимость FortiManager 27 июня и 23 сентября 2024 года. В обоих случаях был замечен исходящий сетевой трафик на неизвестные IP-адреса после создания архива с конфигурационными файлами. Однако, пока нет доказательств того, что злоумышленники использовали полученную информацию для продвижения дальше и компрометации сети компании.
Организациям, у которых устройства FortiManager подключены к интернету, рекомендуется немедленно провести криминалистическое расследование. Детали эксплуатации, включая файлы и папки, связанные с уязвимостью, такие как файлы конфигурации и база данных, были обнаружены и документированы. Кроме того, была обнаружена неавторизованная регистрация устройства злоумышленником на целевом FortiManager, что является дополнительным признаком успешной эксплуатации.
Для более детального анализа и расследования, специалисты Mandiant провели анализ образа памяти FortiManager, чтобы обнаружить дополнительные следы деятельности злоумышленников. В настоящее время продолжается работа по сбору дополнительной информации и настройке системы атрибуции для точного определения мотивации и местоположения злоумышленников. Мандиант будет продолжать обновлять свою оценку и предоставлять дополнительные сведения по мере получения новой информации.
Indicators of Compromise
IPv4
- 104.238.141.143
- 158.247.199.37
- 195.85.114.78
- 45.32.41.202
MD5
- 9dcfab171580b52deae8703157012674
