В октябре 2024 года специалисты по информационной безопасности обнаружили критическую уязвимость в продукте FortiManager компании Fortinet. Эта брешь, получившая название FortiJump (CVE-2024-47575), позволяет злоумышленникам удаленно выполнять произвольный код на уязвимых серверах без аутентификации. Уязвимость оценивается в 9,8 баллов по шкале CVSS, что указывает на чрезвычайно высокий уровень опасности.
Технические детали уязвимости FortiJump
FortiJump затрагивает API FortiManager и связана с протоколом FortiGate to FortiManager (FGFM). Проблема позволяет злоумышленникам регистрировать в панели управления FortiManager устройства с неавторизованными серийными номерами. После регистрации атакующие могут использовать уязвимость для удаленного выполнения кода на сервере FortiManager.
Ключевые аспекты уязвимости:
- Возможность обхода аутентификации в API FortiManager
- Использование действующего сертификата Fortinet для создания SSL-туннеля
- Доступ к управлению легитимными брандмауэрами FortiGate
- Потенциал для компрометации внутренних сетей клиентов через MSP
Масштаб угрозы и подтвержденные атаки
По данным поисковой системы Shodan, в интернете доступно более 60 000 подключений, потенциально уязвимых к FortiJump. Эксперты компании Mandiant сообщили, что уязвимость активно эксплуатировалась хакерской группой UNC5820 с июня 2024 года. Подтверждено компрометация более 50 серверов.
Fortinet признала, что злоумышленники использовали FortiJump для кражи конфиденциальных данных, включая:
- IP-адреса
- Учетные данные
- Конфигурации управляемых устройств
Однако компания заявила об отсутствии доказательств установки вредоносного ПО или изменения настроек FortiGate на скомпрометированных системах.
Критика в адрес Fortinet и проблемы с раскрытием информации
Действия Fortinet по информированию об уязвимости вызвали критику со стороны клиентов и экспертов по кибербезопасности. Основные претензии:
- Задержка с публичным раскрытием информации об уязвимости
- Неполнота данных в приватных уведомлениях клиентам
- Отсутствие своевременных предупреждений для части пользователей
- Несоответствие заявленным принципам «ответственной радикальной прозрачности»
Эксперты отмечают, что подобный подход Fortinet к раскрытию информации об уязвимостях наблюдался и ранее, например, в случаях с CVE-2022-42475 и CVE-2023-27997.
Рекомендации по защите и смягчению последствий
Для минимизации рисков, связанных с уязвимостью FortiJump, специалисты рекомендуют следующие меры:
- Незамедлительно обновить FortiManager до версий 7.2.8 или 7.4.5
- Изменить пароли и конфиденциальные данные на всех управляемых устройствах
- Провести аудит систем на предмет возможной компрометации
- Ограничить доступ к API FortiManager из недоверенных сетей
- Усилить мониторинг сетевой активности и логов FortiManager
Уязвимость FortiJump подчеркивает критическую важность своевременного обновления систем безопасности и применения многоуровневого подхода к защите корпоративных сетей. Организациям следует регулярно проводить оценку рисков и тестирование на проникновение, чтобы выявлять потенциальные уязвимости до того, как ими воспользуются злоумышленники. Только комплексный подход к кибербезопасности может обеспечить надежную защиту в условиях постоянно эволюционирующих угроз.
