A Mandiant divulgou detalhes sobre a exploração de uma vulnerabilidade zero-day no FortiManager (CVE-2024-47575), que eles observaram pela primeira vez sendo explorada em junho de 2024. Essa vulnerabilidade permite que invasores executem código arbitrário em dispositivos afetados.
O que achei particularmente interessante é como o grupo de ameaças, rastreado como UNC5820, organizou e exfiltrou dados de configuração de dispositivos FortiGate gerenciados pelo FortiManager explorado. Esse detalhe destaca como é crucial proteger a infraestrutura de gerenciamento de segurança, como o FortiManager, pois comprometê-la pode ter efeitos em cascata em toda a rede.
Felizmente, a Mandiant não encontrou evidências de que o UNC5820 tenha usado os dados de configuração roubados para se mover lateralmente nos ambientes das vítimas. No entanto, o fato de eles terem se esforçado para roubar essas informações sugere que provavelmente planejavam explorar ainda mais o acesso comprometido.
Este incidente serviu como um bom lembrete de como é importante permanecer vigilante em relação à segurança da rede. Manter os sistemas atualizados com patches de segurança, monitorar atividades suspeitas e implementar o princípio do privilégio mínimo pode reduzir significativamente o risco de ser vítima de tais ataques.
