Compromiso masivo de dispositivos FortiManager que explotan la vulnerabilidad CVE-2024-47575

Shadowserver ha emitido una alerta importante sobre la explotación generalizada de los dispositivos Fortinet FortiManager utilizando la vulnerabilidad CVE-2024-47575 recientemente revelada.

Con una puntuación CVSS de 9,8/10, esta falla crítica permite que un atacante remoto no autenticado ejecute código o comandos arbitrarios en un sistema afectado.

La vulnerabilidad, conocida como 'FortiJump', se debe a la falta de autenticación de una función crítica en el demonio fgfmd de FortiManager.

Fortinet ha confirmado que esta falla se está explotando activamente en la naturaleza, y los atacantes se centran principalmente en extraer datos confidenciales de los dispositivos comprometidos.

Seminario web gratuito sobre cómo proteger su sitio web y sus API contra ciberataques -> Únase aquí

El informe especial de Shadowserver clasifica los dispositivos afectados en dos grupos. Los dispositivos que se confirmó que estaban comprometidos (etiquetados como “CVE-2024-47575 comprometido”) y los dispositivos que fueron atacados pero no confirmados como comprometidos (etiquetados como “CVE-2024-47575 comprometido”) sí lo están.

Recomendamos encarecidamente que las organizaciones traten todos los dispositivos atacados como potencialmente comprometidos, a menos que un análisis forense exhaustivo demuestre lo contrario.

El informe destaca que los dispositivos comprometidos pueden tener múltiples direcciones IP o atravesar dispositivos NAT, lo que complica el proceso de identificación.

Shadowserver enfatiza la urgencia de cambiar las credenciales, incluidas las contraseñas y los datos confidenciales del usuario, para todos los dispositivos administrados conectados a los sistemas FortiManager afectados.

URGENTE: Hemos creado un informe especial sobre los dispositivos FortiManager atacados/comprometidos en la violación masiva del 22 de septiembre con CVE-2024-47575: https://t.co/1Gay4rgzM3

Revise el informe y asuma un compromiso a menos que un análisis exhaustivo demuestre lo contrario. pic.twitter.com/VfkjKyavKc

– Fundación Shadow Server (@Shadowserver) 24 de octubre de 2024

Mandiant cree que este ataque es obra de un actor de amenazas rastreado como UNC5820. Según su análisis, la campaña de explotación ha estado en curso desde al menos el 27 de junio de 2024 y se dirige a más de 50 dispositivos FortiManager en diversas industrias.

Esta violación masiva resalta la naturaleza crítica de esta vulnerabilidad y su rápida explotación por parte de los actores de amenazas.

Se recomienda encarecidamente a las organizaciones que utilizan FortiManager que apliquen inmediatamente los parches proporcionados por Fortinet o, si no es posible aplicar parches, implementen las soluciones recomendadas.

El informe especial de Shadowserver tiene como objetivo notificar a las víctimas potenciales de esta grave infracción, incluso si el evento ocurre fuera del período normal de informe de 24 horas.

La organización cree que compartir estos datos retrospectivos beneficiará enormemente a sus miembros y les permitirá tomar las medidas necesarias para proteger sus sistemas.

A medida que la situación continúa evolucionando, los expertos en ciberseguridad instan a las organizaciones a permanecer alerta, monitorear los indicadores de compromiso e informar de inmediato cualquier actividad sospechosa relacionada con las implementaciones de FortiManager.

Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí