Mandiant опубликовала подробности об эксплуатации уязвимости нулевого дня в FortiManager (CVE-2024-47575), которую они впервые обнаружили в июне 2024 года. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах.
Что мне показалось особенно интересным, так это то, как группа злоумышленников, отслеживаемая как UNC5820, подготавливала и извлекала конфигурационные данные с устройств FortiGate, управляемых скомпрометированным FortiManager. Эта деталь подчеркивает, насколько важно защищать инфраструктуру управления безопасностью, такую как FortiManager, поскольку ее компрометация может иметь каскадные последствия для всей сети.
К счастью, Mandiant не нашла доказательств того, что UNC5820 использовала украденные данные конфигурации для латерального перемещения в средах жертв. Однако тот факт, что они предприняли усилия для кражи этой информации, позволяет предположить, что они, вероятно, планировали и дальше использовать скомпрометированный доступ.
Этот инцидент послужил хорошим напоминанием о том, насколько важно сохранять бдительность в отношении сетевой безопасности. Регулярное обновление систем с помощью исправлений безопасности, мониторинг подозрительной активности и реализация принципа наименьших привилегий могут значительно снизить риск стать жертвой таких атак.
