2024-10-fortinet-fortimanager

# FortiManager Mass Exploitation - 2024 > [!abstract] Resumo > Em outubro de 2024, a Fortinet divulgou o [[cve-2024-47575|CVE-2024-47575]] - uma vulnerabilidade crítica de autenticação ausente no FortiManager (CVSS 9.8) com exploração ativa confirmada antes do patch, resultando em exfiltração de configurações de dispositivos gerenciados, IPs e credenciais VPN. **Data:** 23 de outubro de 2024 | **Categoria:** Zero-Day Exploitation --- ## O que aconteceu Em 23 de outubro de 2024, a Fortinet divulgou o [[cve-2024-47575|CVE-2024-47575]] - uma vulnerabilidade crítica classificada como "missing authentication for critical function" (CWE-306) no daemon `fgfmd` do [[fortimanager]], com pontuação CVSS 9.8. A falha permite que atacantes não autenticados executem código ou comandos arbitrários no FortiManager via requisições especialmente construídas, sem necessidade de credenciais. A Fortinet confirmou no próprio advisory que a vulnerabilidade havia sido explorada ativamente antes da divulgação pública - uma característica de zero-day operacional. Relatórios de organizações de segurança e pesquisadores independentes indicaram que a exploração havia sido observada já em meados de outubro de 2024, com atores de ameaça utilizando a falha para conectar dispositivos FortiGaté não autorizados ao FortiManager e exfiltrar arquivos de configuração sensíveis. Os dados exfiltrados incluíam arquivos de configuração completos de dispositivos gerenciados, endereços IP de infraestrutura de rede interna, e credenciais de VPN hasheadas dos dispositivos FortiGaté sob gerenciamento. O [[fortimanager]] é amplamente utilizado por provedores de serviços gerenciados (MSPs) e grandes corporações para gerenciar dezenas ou centenas de firewalls Fortinet simultaneamente - amplificando significativamente o raio de impacto de cada instância comprometida. A CISA adicionou o CVE-2024-47575 ao catálogo Known Exploited Vulnerabilities (KEV) no mesmo dia da divulgação, exigindo que agências federais americanas aplicassem o patch dentro do prazo mandatório. A Fortinet disponibilizou patches para todas as versões afetadas (7.x, 6.x) e publicou indicadores de comprometimento para auxiliar na detecção de explorações já ocorridas. A vulnerabilidade ficou conhecida na comunidade como "FortiJump". --- ## Atores e Ferramentas - **CVE explorado:** [[cve-2024-47575|CVE-2024-47575]] ("FortiJump", CVSS 9.8) - **Produto afetado:** [[fortimanager]] (versões 7.x e 6.x) - **Daemon vulnerável:** `fgfmd` (FortiGaté to FortiManager protocol daemon) - **Dados exfiltrados:** Configurações de dispositivos, IPs internos, credenciais VPN hasheadas - **Técnicas MITRE:** [[t1190-exploit-public-facing-application]], [[t1078-valid-accounts|T1078]], [[t1078-valid-accounts|T1552-credentials-in-files]] --- ## Impacto O impacto foi ampliado pelo perfil do produto afetado: o FortiManager é uma plataforma de gerenciamento centralizado utilizada por MSPs para administrar infraestrutura de clientes em escala. Uma única instância comprometida pode expor configurações e credenciais de dezenas de organizações-cliente distintas, criando um vetor de comprometimento em cascata com características de supply chain attack. Organizações de setores críticos - incluindo infraestrutura financeira, governo e tecnologia - foram afetadas em múltiplos países. A natureza dos dados exfiltrados (configurações de firewall e credenciais VPN) fornece a atacantes informações detalhadas sobre arquitetura de rede e vetores de acesso remoto, facilitando ataques subsequentes mesmo após a correção da vulnerabilidade original. A remediação exigiu não apenas a aplicação do patch, mas também auditoria completa de logs para identificar explorações anteriores, rotação de credenciais VPN de todos os dispositivos gerenciados potencialmente expostos, e revisão de políticas de acesso ao FortiManager. --- ## Notas Relacionadas - [[cve-2024-47575|CVE-2024-47575]] - perfil completo da vulnerabilidade - [[fortimanager]] - nota do produto afetado - [[t1190-exploit-public-facing-application]] - técnica MITRE ATT&CK de acesso inicial - [[t1078-valid-accounts|T1552-credentials-in-files]] - técnica de coleta de credenciais