Am 23.Oktober 2024 wurden Details zu einer bis dato unbekannten Zero-Day-Schwachstelle in der Firewall-Management-Software FortiManager veröffentlicht. Die Schwachstelle wird als CVE-2024-47575 und einem kritischen CVSS-Score von 9.8 geführt.
Beobachtungen
Wir gehen aktuellen, bislang unbestätigten Hinweisen nach, wonach die Sicherheitslücke durch staatlich gesteuerte Akteure gezielt ausgenutzt wird. In einem vom Sicherheitsdienstleister Mandiant veröffentlichten Report wird das Vorgehen einer bislang unbekannten Gruppierung beschrieben, die von Mandiant als UNC5820 geführt wird. Demnach wird die Schwachstelle wahrscheinlich bereits seit Ende Juni 2024 gezielt ausgenutzt.
Hintergrund und Methoden
Die Schwachstelle ermöglicht es Angreifern mit einem selbst kontrollierten FortiManager-Gerät eigenen Code auf verwundbaren Systemen desselben Typs auszuführen. Zudem können Angreifer eigene Geräte auf angegriffenen FortiManager-Instanzen registrieren. Bei den bisher festgestellten Angriffen wurden nach erfolgter Kompromittierung Konfigurationsdateien exfiltriert.
Attribution
Bislang können wir noch keine eindeutige Attribution vornehmen. Es ist jedoch sehr wahrscheinlich, dass es sich bei den Angreifern um staatlich gesteuerte Cyberakteure handelt. Hierfür sprechen eine bereits langanhaltende Ausnutzung der Schwachstelle vor deren offiziellen Bekanntwerden sowie die bislang bekannte Opferfläche. Zuletzt warnten wir im Juni 2024 vor der Ausnutzung von Schwachstellen in Fortinet-Technologien. Damals handelte es sich bei den Angreifern um Cyberakteure mit mutmaßlichen Bezügen zur Volkrepublik China.
Empfehlungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Handlungsempfehlungen zur Behebung der Sicherheitslücke veröffentlicht. Darüber hinaus empfiehlt die Cyberabwehr dringend, entsprechende Systeme auch nach durchgeführten Patches anhand der bislang bekannten IOCs zu prüfen. Hierzu stellen wir eine YARA-Regel zur Verfügung, die nach den bekannten Strings sucht.