Mandiant hat Details zu einem Zero-Day-Exploit in FortiManager (CVE-2024-47575) veröffentlicht, den sie erstmals im Juni 2024 beobachtet haben. Dieser Exploit ermöglicht es Angreifern, beliebigen Code auf betroffenen Geräten auszuführen.
Besonders interessant fand ich, wie die als UNC5820 verfolgte Bedrohungsgruppe Konfigurationsdaten von FortiGate-Geräten stahl, die von dem kompromittierten FortiManager verwaltet wurden. Dieses Detail unterstreicht, wie wichtig es ist, die Management-Infrastruktur der Sicherheit wie FortiManager zu schützen, da ein Kompromiss weitreichende Auswirkungen auf das gesamte Netzwerk haben kann.
Glücklicherweise fand Mandiant keine Beweise dafür, dass UNC5820 die gestohlenen Konfigurationsdaten nutzte, um sich lateral in den Umgebungen der Opfer zu bewegen. Die Tatsache jedoch, dass sie sich die Mühe gemacht haben, diese Informationen zu stehlen, deutet darauf hin, dass sie wahrscheinlich vorhatten, den kompromittierten Zugriff weiter auszunutzen.
Dieser Vorfall erinnerte mich daran, wie wichtig es ist, in Bezug auf die Netzwerksicherheit wachsam zu bleiben. Die Aktualisierung von Systemen mit Sicherheitspatches, die Überwachung auf verdächtige Aktivitäten und die Implementierung des Prinzips der geringsten Rechte können das Risiko, Opfer solcher Angriffe zu werden, erheblich verringern.
