fortijump-campaign

# FortiJump - Exploração CVE-2024-47575 em FortiManager > [!high] Zero-Day em FortiManager - Espionagem em Escala Global > Campanha de espionagem atribuída ao grupo UNC5820 explorando CVE-2024-47575 (CVSS 9.8) - zero-day em FortiManager que permite execução de código remoto sem autenticação. Centenas de instâncias FortiManager foram comprometidas globalmente antes da divulgação do patch em outubro de 2024, com foco em coleta de credenciais e configurações de rede. ## Visão Geral A campanha **FortiJump** recebeu este nome (cunhado pela comunidade de pesquisadores) após a divulgação da [[cve-2024-47575|CVE-2024-47575]] pelo PSIRT da Fortinet em outubro de 2024. A vulnerabilidade afeta o FortiManager - o produto centralizado de gerenciamento de infraestrutura Fortinet - e permite que um atacante remoto execute código arbitrário sem autenticação prévia através de uma falha no protocolo FGFM (FortiGate to FortiManager Protocol). O impacto desta campanha é amplificado pela natureza do produto comprometido: o FortiManager gerencia centralmente múltiplos FortiGate firewalls de uma organização. Comprometer o FortiManager equivale a ter acesso às configurações, credenciais e topologia de rede de todos os FortiGates gerenciados por aquele servidor - multiplicando o alcance do atacante de um sistema para toda a infraestrutura de rede gerenciada. O [[unc5820|UNC5820]] (designação Mandiant para o ator) iniciou a exploração meses antes da divulgação pública, operando no escuro enquanto a Fortinet investigava os relatos de clientes. Este padrão - exploração silenciosa de zero-days por um período extenso antes da divulgação - é característico de atores de espionagem com acesso a vulnerabilidades não divulgadas. A campanha visou principalmente organizações de grande porte com infraestrutura Fortinet significativa - setores financeiro, governamental e de tecnologia nos EUA, Europa e Ásia-Pacífico. O objetivo primário foi coleta de configurações e credenciais, posicionando o ator para exploração posterior da infraestrutura de rede das vítimas. **Plataformas:** Fortinet FortiManager (Linux) ## Cadeia de Infecção ```mermaid graph TB A["🔍 Scan de FortiManager expostos na internet Shodan/Censys"] --> B["💥 Exploit CVE-2024-47575 FGFM protocol abuse RCE sem autenticação"] B --> C["🔑 Acesso como root ao FortiManager sem credenciais válidas"] C --> D["📊 Coleta de configurações todos FortiGates gerenciados credenciais, topologias"] D --> E["💾 FORRO backdoor persistência no FortiManager comprometido"] E --> F["📤 Exfiltração de dados configs de rede, VPNs políticas de firewall"] F --> G["🕵️ Reconhecimento adicional movimenta-se para infraestrutura gerenciada"] ``` **Impacto em cadeia - por que FortiManager é alvo de alto valor:** ```mermaid graph TB A["🔑 FortiManager comprometido um único sistema"] --> B["📋 Acesso a configurações 10-100 FortiGates gerenciados"] B --> C["🔐 Credenciais de admin de todos os firewalls gerenciados"] C --> D["🌐 Topologia de rede VLANs, segmentações rotas críticas"] D --> E["👁️ Posição privilegiada para operações futuras em toda a infraestrutura"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | CVE-2024-47575 em FortiManager exposto | | [[t1059-004-unix-shell\|T1059.004]] | Unix Shell | Execução de comandos shell no FortiManager Linux | | [[t1505-003-web-shell\|T1505.003]] | Web Shell | FORRO backdoor para persistência | | [[t1119-automated-collection\|T1119]] | Automated Collection | Coleta automatizada de configs e credenciais | | [[t1041-exfiltration-c2\|T1041]] | Exfiltration Over C2 Channel | Exfiltração de dados via canal de C2 | ## Vulnerabilidade CVE-2024-47575 **CVE-2024-47575** - FortiManager FGFM Protocol Authentication Bypass: - CVSS: 9.8 (Crítico) - CWE: CWE-306 - Missing Authentication for Critical Function - Produtos afetados: FortiManager 6.x, 7.x (múltiplas versões) - Descoberta: Relatada por clientes à Fortinet antes da divulgação - Patch: Disponível em outubro 2024 (exploração ativa por meses antes) A falha ocorre no daemon FGFM que processa registros de dispositivos FortiGate no FortiManager. Um atacante pode enviar mensagens FGFM forjadas simulando um dispositivo FortiGate legítimo, obtendo acesso sem autenticação ao sistema de gerenciamento. ## Resposta e Mitigação A Fortinet divulgou a vulnerabilidade em outubro de 2024 com patches e workarounds. Principais medidas recomendadas: 1. **Patch imediato** para versões corrigidas do FortiManager 2. **Isolamento**: FortiManager não deve ser exposto diretamente à internet - colocar atrás de VPN ou em rede isolada 3. **Monitoramento de logs**: Verificar logs do FortiManager por conexões de IPs não reconhecidos 4. **IOC check**: Verificar presença do backdoor FORRO nos sistemas potencialmente afetados ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > A Fortinet possui presença significativa no mercado corporativo e governamental brasileiro. FortiGate e FortiManager são usados por empresas de médio e grande porte, ISPs e agências públicas. Um comprometimento de FortiManager equivale a acesso a toda a infraestrutura de rede gerenciada - risco crítico para organizações nacionais. A Fortinet possui presença significativa no mercado de segurança de rede brasileiro - FortiGate e FortiManager são usados por empresas de médio e grande porte, ISPs e agências governamentais. Organizações brasileiras com FortiManager na rede devem: 1. Verificar se a versão atual está no range afetado pela CVE-2024-47575 2. Confirmar que o FortiManager não está exposto diretamente à internet pública 3. Revisar logs de acesso para atividade incomum no período junho-outubro 2024 4. Implementar autenticação adicional (IP allowlist) para acesso ao FortiManager A campanha FortiJump também destaca o risco de soluções de gerenciamento centralizado: um único ponto de comprometimento pode escalar para toda a infraestrutura de rede. ## Indicadores de Comprometimento > [!ioc]- IOCs - FortiJump (TLP:GREEN) > **Comportamento característico:** > - Processo não reconhecido em `/tmp` ou `/var/tmp` no FortiManager > - Conexões de saída do FortiManager para IPs externos não usuais > - Arquivo `/tmp/.pid` ou binários com nomes genéricos em diretórios temporários > > **Logs suspeitos no FortiManager:** > - Registros de dispositivos FortiGate de IPs não presentes no inventário > - Comandos CLI executados em horários incomuns via API ou FGFM > > **Fontes:** [Fortinet PSIRT FG-IR-24-423](https://fortiguard.fortinet.com/psirt/FG-IR-24-423) · [Mandiant](https://www.mandiant.com/resources/blog/fortimanager-zero-day-exploitation) ## Detecção **Indicadores de comprometimento:** - Dispositivos FortiGate desconhecidos registrados no FortiManager - Processos não assinados executando em `/tmp/` no FortiManager - Conexões de rede saindo do FortiManager para IPs externos não documentados **Fontes de dados:** - **FortiManager Logs**: Registros de dispositivos e API calls suspeitos - **Syslog/SIEM**: Correlacionar eventos do FortiManager com atividade incomum nos FortiGates gerenciados **Regras de detecção:** - Fortinet: Script de verificação IOC disponível via suporte Fortinet - CISA: Advisory AA24-265A com indicadores específicos ## Referências - [1](https://fortiguard.fortinet.com/psirt/FG-IR-24-423) Fortinet PSIRT - FG-IR-24-423 CVE-2024-47575 (2024) - [2](https://www.mandiant.com/resources/blog/fortimanager-zero-day-exploitation) Mandiant - FortiJump Analysis (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-265a) CISA Advisory AA24-265A - FortiManager Exploitation - [4](https://attack.mitre.org/software/S0271/) MITRE ATT&CK - FortiManager Related Techniques