unc5820 - RunkIntel

# UNC5820 ## Visão Geral **UNC5820** e uma designacao temporaria da [[_mandiant|Mandiant]] para um cluster de ameaça observado explorando zero-day no [[_fortinet|Fortinet]] [[fortimanager|FortiManager]] ([[cve-2024-47575|CVE-2024-47575]] - "FortiJump") em campanhas de acesso inicial e espionagem. O grupo iniciou a exploração em **27 de junho de 2024**, mais de **quatro meses antes da divulgacao pública** em outubro de 2024. A campanha afetou mais de **50 instancias FortiManager** em múltiplos setores. A [[cisa|CISA]] adicionou o [[cve-2024-47575|CVE-2024-47575]] ao catalogo KEV em 23 de outubro de 2024. A Mandiant, em parceria com a Fortinet, identificou e rastreou o cluster durante a investigação das exploracoes em massa. > [!danger] FortiJump - Compromisso em Cadeia via MSPs > O [[cve-2024-47575|CVE-2024-47575]] no FortiManager permite comprometer **todos os dispositivos gerenciados** de um único servidor. O UNC5820 focou em instancias FortiManager de MSPs (Managed Service Providers) para maximizar impacto em cascata - um servidor FortiManager gerencia firewalls de dezenas ou centenas de clientes corporativos simultaneamente. > [!warning] Atribuicao Inconclusiva > A Mandiant nao tinha dados suficientes para avaliar motivacao ou localização do UNC5820 no momento da públicacao. O grupo permanece sem atribuicao a estado-nacao ou cluster conhecido. ## Attack Flow - FortiJump: Exploração de Gerenciamento de Segurança ```mermaid graph TB A["🎯 CVE-2024-47575 FortiManager CVSS 9.8 Zero-Day Jun/2024"] --> B["📋 Registro Falso Dispositivo FortiGaté nao autorizado via FGFM"] B --> C["⚙️ Execução de Comandos Payload JavaScript no servidor FortiManager"] C --> D["📦 Staging de Dados Arquivo /tmp/.tm compactado gzip"] D --> E["🔑 Exfiltração de Hashes FortiOS256 credentials de TODOS os dispositivos"] E --> F["🎯 Impacto Multiplicado MSP gerencia 50+ clientes Efeito cascata"] classDef zeroday fill:#c0392b,color:#fff,stroke:#7b241c classDef reg fill:#e74c3c,color:#fff,stroke:#c0392b classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef stage fill:#f39c12,color:#fff,stroke:#d68910 classDef hash fill:#8e44ad,color:#fff,stroke:#6c3483 classDef msp fill:#1a5276,color:#fff,stroke:#154360 class A zeroday class B reg class C exec class D stage class E hash class F msp ``` ## Timeline de Atividade ```mermaid timeline title UNC5820 - FortiJump Campaign 27 Jun 2024 : Primeiro ataque observado : IP 45.32.41.202 conecta na TCP/541 : Arquivo /tmp/.tm criado e exfiltrado 23 Set 2024 : Segunda fase de exploração : Dispositivo falso registrado no FortiManager : Serial FMG-VMTM23017412 adicionado Out 2024 : Fortinet notificacoes privadas a clientes : Kevin Beaumont divulga publicamente 23 Out 2024 : Divulgacao oficial CVE-2024-47575 : CISA adiciona ao catalogo KEV : Mandiant publica análise UNC5820 ``` ## Campanhas ### FortiJump - Exploração em Massa do FortiManager (Jun-Out 2024) O UNC5820 explorou o [[cve-2024-47575|CVE-2024-47575]] como zero-day por pelo menos **4 meses** antes da divulgacao pública. A campanha envolveu: 1. **Fase 1 (27 Jun 2024):** Multiplos dispositivos FortiManager receberam conexoes inbound do IP `45.32.41.202` na porta TCP/541. Simultaneamente, arquivos de configuração foram staged em `/tmp/.tm` (gzip comprimido) e exfiltrados. 2. **Fase 2 (23 Set 2024):** Segunda rodada de exploracoes com os mesmos indicadores. Nesta fase, o dispositivo falso do atacante foi registrado explicitamente no FortiManager. **Dados exfiltrados (confirmados pela Mandiant):** - Configuracoes completas dos dispositivos FortiGaté gerenciados - Informacoes sobre o servidor FortiManager e seu banco de dados global - Credenciais de usuarios em formato hash FortiOS256 **O que nao foi observado:** A Mandiant nao encontrou evidências de que o UNC5820 utilizou os dados exfiltrados para movimento lateral real ou comprometimento downstream das redes gerenciadas. ## Arsenal Tecnico O UNC5820 utilizou o protocolo nativo FortiGaté-to-FortiManager (FGFM) como vetor de ataque, sem necessidade de malware complexo: **Exploração da vulnerabilidade:** - Ausência de autenticação no daemon `fgfmsd` do FortiManager - Uso de certificados Fortinet válidos (obtidos de dispositivos controlados pelo atacante) - Registro de dispositivo FortiManager/FortiGaté nao autorizado via protocolo FGFM **Exfiltração:** - Payload JavaScript para coleta de dados de configuração - Compactacao em arquivo gzip `/tmp/.tm` - Exfiltração via HTTP para IPs de C2 **Conteudo do arquivo /tmp/.tm (confirmado):** - IPs e configuracoes dos FortiGates gerenciados - Banco de dados global do FortiManager - Credenciais de usuarios em hash FortiOS256 ## TTPs Mapeadas no MITRE ATT&CK ### Acesso Inicial - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Exploração do [[cve-2024-47575|CVE-2024-47575]] via protocolo FGFM para registro nao autorizado no FortiManager ### Execução - [[t1059-007-javascript|T1059.007 - JavaScript]] - Payload JavaScript executado no contexto do FortiManager para coletar e preparar dados para exfiltração ### Coleta e Exfiltração - [[t1560-001-archive-via-utility|T1560.001 - Archive Via Utility]]- Dados compactados em arquivo gzip `/tmp/.tm` antes da exfiltração - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - Exfiltração dos dados via HTTP para IPs de infraestrutura do atacante ### Acesso a Credenciais - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Obtencao de hashes FortiOS256 de todos os dispositivos gerenciados, possívelmente para uso futuro em acesso válido ## Infraestrutura (IoCs Públicos) > [!info] IoCs com Alta Confiabilidade (Mandiant) **IPs de C2 documentados:** - `45.32.41.202` - IP primario de conexão (primeiro observado em Jun 2024) - `104.238.141.143` - IP de C2 alternativo - `172.247.118.126` - IP adicional **Artefatos em sistema de arquivos:** - `/tmp/.tm` - Arquivo gzip com dados exfiltrados - `/fds/data/unreg_devices.txt` - Número de serie `FMG-VMTM23017412` e IP `45.32.41.202` **Logs indicadores:** - Adicao de dispositivo nao autorizado na Global Objects database do FortiManager - Dispositivo nao listado aparecendo no console FortiManager ## Detecção > [!tip] Prioridade de Detecção > Focar em indicadores no proprio FortiManager - o grupo nao deixa rastros nos sistemas gerenciados se explorou apenas a fase de coleta inicial. **Verificacoes criticas:** 1. Revisar `/fds/data/unreg_devices.txt` para entradas nao autorizadas 2. Auditar a lista de dispositivos no console FortiManager - qualquer dispositivo nao reconhecido e indicador 3. Monitorar conexoes inbound na porta TCP/541 de IPs externos 4. Verificar trafego HTTP outbound após novas conexoes na porta 541 5. Auditar logs de adicao de dispositivos na Global Objects database **Regra de detecção FortiManager:** - Alertar quando dispositivo desconhecido for adicionado ao banco global - Monitorar criação de `/tmp/.tm` no sistema de arquivos do FortiManager ## Relevância para o Brasil e LATAM UNC5820 representa ameaça critica a MSPs brasileiros e a todas as empresas que dependem de [[fortimanager|FortiManager]] compartilhado. [[_fortinet|Fortinet]] e largamente implantado no Brasil - Claro, Oi, BRQ, Locaweb e centenas de provedores de servicos gerenciados usam FortiManager para centralizar administracao de firewalls [[fortigaté|FortiGaté]]. O modelo de ataque "efeito dominó" e particularmente devastador no contexto brasileiro: - **1 FortiManager comprometido = N clientes comprometidos** em cascata - MSPs com FortiManager nao-remendado potencialmente já tiveram dados de seus clientes exfiltrados - Hashes FortiOS256 de todos os firewalls gerenciados podem ser utilizados para acesso persistente futuro **Acao imediata:** Auditar TODOS os FortiManager (corporativos e de MSP). Verificar logs de dispositivos nao autorizados. Rotacionar credenciais de todos os FortiGates gerenciados. ## Mitigação **Patch obrigatorio** (versoes afetadas): - FortiManager 7.6.0 → atualizar para 7.6.1+ - FortiManager 7.4.0-7.4.4 → atualizar para 7.4.5+ - FortiManager 7.2.0-7.2.7 → atualizar para 7.2.8+ - FortiManager 7.0.0-7.0.12 → atualizar para 7.0.13+ **Mitigacoes de configuração:** 1. Limitar acesso ao portal admin do FortiManager a IPs aprovados internamente 2. Permitir apenas enderecos FortiGaté autorizados a comúnicar com FortiManager 3. Configurar `set fgfm-deny-unknown enable` para negar registro de dispositivos desconhecidos 4. Auditoria forense imediata em instancias que possívelmente estavam expostas ## Referências - [Mandiant: FortiManager Zero-Day Exploitation (CVE-2024-47575)](https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-CVE-2024-47575) - [Fortinet PSIRT Advisory FG-IR-24-423](https://www.fortiguard.com/psirt/FG-IR-24-423) - [CISA KEV - CVE-2024-47575](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [BleepingComputer: Mandiant FortiManager Exploitation](https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/) - [The Hacker News: CVE-2024-47575 FortiJump](https://thehackernews.com/2024/10/fortinet-warns-of-critical.html)