Advisory

Investigasi Eksploitasi Zero-Day FortiManager (CVE-2024-47575)​

October 25, 2024

Deskripsi

1

 

     
 

Pada Oktober 2024, Mandiant dan Fortinet melakukan investigasi eksploitasi masal pada 50 lebih perangkat FortiManager yang berpotensi dieksploitasi di berbagai industri. Eksploitasi memanfaatkan kerentanan CVE-2024-47575 dengan severity Critical (CVSS v3.1: 9.8). Mandiant menandai para pelaku dengan nama UNC5820, yang terlihat berhasil mencuri data konfigurasi & kredensial pengguna. Organisasi yang menggunakan FortiManager dan terlebih lagi dapat diakses dari internet, disarankan untuk melakukan penyelidikan forensik untuk mengidentifikasi potensi risiko yang mungkin sudah terjadi.

  
     

 

Hasil Investigasi

2

 

     
 
  1. Pada tanggal 27 Juni 2024, beberapa perangkat FortiManager menerima koneksi dari alamat IP 45[.]32[.]41[.]202 pada port default TCP 541.
  2. Setelah koneksi berhasil, pelaku membuat arsip yang berisi data konfigurasi penting pada file path /tmp/.tm yang kemudian tercatat dikirimkan ke beberapa IP lainnya. 
  3. Pada sample korban lain di 23 September 2024, perangkat pelaku tercatat di sistem FortiManager sebagai Unauthorized Device dengan nama “FMG-VMTM23017412,” serta alamat IP 45[.]32[.]41[.]202. Ini menandakan bahwa eksploitasi dan eksfiltrasi data telah berhasil. 

  
     

 

Versi Terdampak

3

 

Affected Product Affected Version Fixed Version
FortiManager 6.2 6.2.0 through 6.2.12
 Upgrade to 6.2.13 or above
FortiManager 6.4 6.4.0 through 6.4.14
 Upgrade to 6.4.15 or above
FortiManager 7.0 7.0.0 through 7.0.12
 Upgrade to 7.0.13 or above
FortiManager 7.2 7.2.0 through 7.2.7
 Upgrade to 7.2.8 or above
FortiManager 7.4 7.4.0 through 7.4.4
 Upgrade to 7.4.5 or above
FortiManager 7.6 7.6.0
 Upgrade to 7.6.1 or above
FortiManager Cloud 6.4 6.4 all versions
 Migrate to a fixed release
FortiManager Cloud 7.0 7.0.1 through 7.0.12
 Upgrade to 7.0.13 or above
FortiManager Cloud 7.2 7.2.1 through 7.2.7
 Upgrade to 7.2.8 or above
FortiManager Cloud 7.4 7.4.1 through 7.4.4 Upgrade to 7.4.5 or above

 

Migitasi

4

 

     
 
  1. Melakukan update ke fixed version dari FortiManager.
  2. Membatasi akses ke portal admin FortiManager hanya untuk alamat IP internal yang disetujui.
  3. Hanya mengizinkan alamat FortiGate yang diizinkan (whitelist) untuk berkomunikasi dengan FortiManager.
  4. Deteksi dan cegah traffic yang berasal atau menuju IoC berikut:
    1. 158[.]247[.]199[.]37
    2. 195[.]85[.]114[.]78
    3. 45[.]32[.]41[.]202
    4. 104[.]238[.]141[.]143
  
     

 

Referensi 

  1. https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?linkId=11444105
  2. https://www.tenable.com/blog/cve-2024-47575-faq-about-fortijump-zero-day-in-fortimanager-fortimanager-cloud

 

Deskripsi

1

 

     
 

Pada Oktober 2024, Mandiant dan Fortinet melakukan investigasi eksploitasi masal pada 50 lebih perangkat FortiManager yang berpotensi dieksploitasi di berbagai industri. Eksploitasi memanfaatkan kerentanan CVE-2024-47575 dengan severity Critical (CVSS v3.1: 9.8). Mandiant menandai para pelaku dengan nama UNC5820, yang terlihat berhasil mencuri data konfigurasi & kredensial pengguna. Organisasi yang menggunakan FortiManager dan terlebih lagi dapat diakses dari internet, disarankan untuk melakukan penyelidikan forensik untuk mengidentifikasi potensi risiko yang mungkin sudah terjadi.

  
     

 

Hasil Investigasi

2

 

     
 
  1. Pada tanggal 27 Juni 2024, beberapa perangkat FortiManager menerima koneksi dari alamat IP 45[.]32[.]41[.]202 pada port default TCP 541.
  2. Setelah koneksi berhasil, pelaku membuat arsip yang berisi data konfigurasi penting pada file path /tmp/.tm yang kemudian tercatat dikirimkan ke beberapa IP lainnya. 
  3. Pada sample korban lain di 23 September 2024, perangkat pelaku tercatat di sistem FortiManager sebagai Unauthorized Device dengan nama “FMG-VMTM23017412,” serta alamat IP 45[.]32[.]41[.]202. Ini menandakan bahwa eksploitasi dan eksfiltrasi data telah berhasil. 

  
     

 

Versi Terdampak

3

 

Affected Product Affected Version Fixed Version
FortiManager 6.2 6.2.0 through 6.2.12
 Upgrade to 6.2.13 or above
FortiManager 6.4 6.4.0 through 6.4.14
 Upgrade to 6.4.15 or above
FortiManager 7.0 7.0.0 through 7.0.12
 Upgrade to 7.0.13 or above
FortiManager 7.2 7.2.0 through 7.2.7
 Upgrade to 7.2.8 or above
FortiManager 7.4 7.4.0 through 7.4.4
 Upgrade to 7.4.5 or above
FortiManager 7.6 7.6.0
 Upgrade to 7.6.1 or above
FortiManager Cloud 6.4 6.4 all versions
 Migrate to a fixed release
FortiManager Cloud 7.0 7.0.1 through 7.0.12
 Upgrade to 7.0.13 or above
FortiManager Cloud 7.2 7.2.1 through 7.2.7
 Upgrade to 7.2.8 or above
FortiManager Cloud 7.4 7.4.1 through 7.4.4 Upgrade to 7.4.5 or above

 

Migitasi

4

 

     
 
  1. Melakukan update ke fixed version dari FortiManager.
  2. Membatasi akses ke portal admin FortiManager hanya untuk alamat IP internal yang disetujui.
  3. Hanya mengizinkan alamat FortiGate yang diizinkan (whitelist) untuk berkomunikasi dengan FortiManager.
  4. Deteksi dan cegah traffic yang berasal atau menuju IoC berikut:
    1. 158[.]247[.]199[.]37
    2. 195[.]85[.]114[.]78
    3. 45[.]32[.]41[.]202
    4. 104[.]238[.]141[.]143
  
     

 

Referensi 

  1. https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?linkId=11444105
  2. https://www.tenable.com/blog/cve-2024-47575-faq-about-fortijump-zero-day-in-fortimanager-fortimanager-cloud

 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts