> [!warning] Aviso Importante
> Este playbook é um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. Não substitui um plano formal de Incident Response. Consulte sua equipe jurídica e de compliance antes de iniciar qualquer investigação.
---
## Visão Geral
Um [[_fortinet|FortiManager]] comprometido representa o cenário de **blast radius máximo** em ambientes que utilizam centralização de gerenciamento Fortinet. O FortiManager gerencia configurações de políticas, credenciais, topologia de rede e parâmetros de todos os firewalls FortiGate registrados — um único comprometimento concede ao atacante controle potencial sobre toda a infraestrutura de segurança de rede gerenciada.
Este playbook endereça a exploração ativa do [[cve-2024-47575|CVE-2024-47575]] (FortiJump), vulnerabilidade crítica com CVSS 9.8 que afeta o daemon `fgfmsd`, responsável pela comunicação via protocolo FGFM (FortiGate-to-FortiManager) na porta TCP/541. A falha permite que um atacante não autenticado registre um dispositivo não autorizado no FortiManager e execute comandos arbitrários, sem nenhuma credencial válida além de um certificado Fortinet — que pode ser obtido de qualquer dispositivo FortiGate comprometido ou controlado pelo atacante.
Contexto adicional de exploração do protocolo FGFM é coberto por [[cve-2024-23113|CVE-2024-23113]], que aborda uma falha de format string no mesmo daemon e foi encadeada com o [[cve-2024-47575|CVE-2024-47575]] em ataques documentados.
O cluster de ameaça [[unc5820]], rastreado pelo Mandiant, foi identificado como responsável pela exploração em massa a partir de **27 de junho de 2024**, afetando mais de 50 instâncias FortiManager em múltiplos setores. A CISA adicionou o [[cve-2024-47575|CVE-2024-47575]] ao seu catálogo KEV (Known Exploited Vulnerabilities) em 23 de outubro de 2024.
> [!danger] Impacto Potencial
> Comprometimento do FortiManager equivale a comprometimento de **todos os firewalls gerenciados**. O atacante pode: (1) exfiltrar configurações completas e credenciais hash de todos os dispositivos, (2) inserir backdoors em políticas de firewall, (3) reconfigurar roteamento, NAT e regras de acesso em escala.
---
## Fluxo de Resposta ao Incidente
```mermaid
flowchart TD
A([🚨 FortiManager:<br/>Dispositivo Não Autorizado<br/>ou Atividade Suspeita]) --> B{Verificar\nIoCs}
B -->|Serial desconhecido em device list| C[COMPROMETIMENTO CONFIRMADO]
B -->|Arquivo /tmp/.tm presente| C
B -->|Conexão de IP suspeito na porta 541| D[Investigação Urgente]
D --> E{Versão\nAfetada?}
E -->|Sim| C
E -->|Não| F[Monitoramento Reforçado]
C --> G[ISOLAMENTO IMEDIATO<br/>NÃO desligar o FortiManager]
G --> H[Snapshot VM antes de<br/>qualquer ação]
H --> I[Bloquear tráfego upstream<br/>no switch/hypervisor]
I --> J[FortiGates continuam<br/>operando de forma autônoma]
J --> K[COLETA FORENSE]
K --> K1[Coletar /tmp/.tm<br/>e arquivos de staging]
K1 --> K2[Exportar logs de<br/>eventos do FortiManager]
K2 --> L[AUDITORIA DE POLÍTICAS]
L --> L1[Comparar revisões de<br/>configura de cada FortiGate]
L1 --> L2[Identificar políticas<br/>backdoor inseridas]
L2 --> M[ERRADICAÇÃO]
M --> M1[Remover dispositivos<br/>não autorizados]
M1 --> M2[Aplicar patch<br/>para versão corrigida]
M2 --> M3[Rotacionar TODAS<br/>as credenciais]
M3 --> N[RECUPERAÇÃO<br/>Reconectar com controles]
N --> O([✅ Incidente Encerrado])
style A fill:#ff6600,color:#fff
style C fill:#ff0000,color:#fff
style O fill:#00aa44,color:#fff
style G fill:#cc3300,color:#fff
```
---
## Diagrama de Comúnicação
```mermaid
sequenceDiagram
participant SOC as SOC Analyst
participant IR as IR Lead
participant NetEng as Network / Fortinet Team
participant CISO as CISO
participant Legal as Jurídico/DPO
participant Exec as Executivos
participant Clients as Clientes (se MSP)
SOC->>IR: T+0: Dispositivo não autorizado detectado no FortiManager
IR->>NetEng: T+5min: Gerar imagem VM e isolar FortiManager AGORA
NetEng->>IR: T+10min: FortiManager isolado — FortiGates operacionais
IR->>CISO: T+15min: Comprometimento confirmado — blast radius: [N] FortiGates
CISO->>Exec: T+30min: Briefing executivo — infraestrutura de firewall comprometida
IR->>Legal: T+30min: Avaliação LGPD — dados de usuários VPN expostos?
Note over IR,Clients: Se MSP — notificar clientes imediatamente
IR->>Clients: T+1h: Notificação de clientes sobre possível exposição de configurações
NetEng->>NetEng: T+2h: Auditoria de políticas em todos os FortiGates gerenciados
IR->>CISO: T+4h: Relatório de contenção e auditoria preliminar
Legal->>CISO: T+24h: Decisão sobre notificação ANPD
IR->>Exec: T+72h: Relatório final e lições aprendidas
```
---
## Ferramentas Recomendadas
### Detecção e Análise Forense
| Ferramenta | Uso | Detalhe |
|------------|-----|---------|
| **FortiManager CLI** | Análise de logs e verificação de integridade | `grep "unregistered" fmg_event.log` |
| **Wireshark** | Análise de tráfego na porta TCP/541 | Filtro: `tcp.port == 541` |
| **Volatility 3** | Análise de memória do VM-Series se comprometimento ativo | `python3 vol.py -f fmg_memory.raw linux.pslist` |
| **sha256sum** | Verificar integridade de arquivos Python | `sha256sum /usr/local/lib/python3.8/**/*.py` |
| **Velociraptor** | Hunting em endpoints pós-comprometimento | Artefatos de autenticação e rede |
### SIEM e Detecção
| Ferramenta | Uso | Query |
|------------|-----|-------|
| **Splunk** | Correlação de eventos FortiManager + firewall | `index=fortimanager subtype=fgfm "unregistered"` |
| **Elastic SIEM** | Detection Rules para FortiManager exploitation | Beat: `filebeat-fortinet` |
| **Microsoft Sentinel** | KQL para conexões na porta 541 | `CommonSecurityLog | where DestinationPort == 541` |
| **FortiAnalyzer** | Análise centralizada de logs Fortinet | Integrar FortiManager ao FortiAnalyzer para auditoria |
### Threat Intelligence
| Ferramenta | Uso |
|------------|-----|
| **VirusTotal** | Verificar IPs do [[unc5820]] identificados nos logs |
| **MISP** | Feed de IoCs do UNC5820 e CVE-2024-47575 |
| **Shodan** | Verificar se o FortiManager estava exposto na internet |
---
## Checklist de Contenção
- [ ] Identificar serial numbers não autorizados na lista de dispositivos gerenciados
- [ ] Verificar presença de `/tmp/.tm` - indicador direto de comprometimento
- [ ] **NÃO desligar o FortiManager** - preservar evidências em memória e disco
- [ ] Tirar snapshot do VM no hypervisor imediatamente (VMware/KVM/Hyper-V)
- [ ] Isolar o FortiManager via VLAN de quarentena no switch upstream
- [ ] Confirmar que os FortiGates gerenciados continuam operacionais de forma autônoma
- [ ] Fazer backup manual de configuração dos FortiGates críticos: `execute backup config flash`
- [ ] Bloquear IPs de C2 do [[unc5820]] identificados nos logs
- [ ] Notificar CISO e equipe jurídica - credenciais hash de todos os FortiGates foram potencialmente exfiltradas
- [ ] Se MSP: notificar todos os clientes com FortiGates gerenciados pelo FortiManager comprometido
## Checklist de Erradicação
- [ ] Remover arquivos de staging do atacante: `rm -f /tmp/.tm /var/tmp/.tm`
- [ ] Auditar e remover dispositivos não autorizados em Device Manager
- [ ] Verificar e remover backdoors Python: `grep -r "show_device_info" /usr/local/lib/python3.8/`
- [ ] Aplicar patch para versão corrigida (FortiManager 7.4.5+, 7.2.8+, 7.0.13+)
- [ ] Habilitar `fgfm-deny-unknown enable` para bloquear registros não autorizados
- [ ] Implementar local-in policy restringindo porta 541 a IPs conhecidos dos FortiGates
- [ ] Rotacionar senhas de TODOS os administradores de todos os FortiGates gerenciados
- [ ] Rotacionar credenciais LDAP bind, RADIUS, SNMP community strings
- [ ] Revogar e regenerar certificados FGFM
- [ ] Verificar e revertir políticas de firewall backdoor em todos os FortiGates gerenciados
- [ ] Verificar contas administrativas locais não autorizadas nos FortiGates
## Checklist de Recuperação
- [ ] Identificar último backup limpo (anterior a junho de 2024 para o [[unc5820]])
- [ ] Validar hash SHA256 do backup antes de restaurar
- [ ] Restaurar em ambiente isolado primeiro para válidação
- [ ] Configurar alertas para qualquer novo registro de dispositivo no FortiManager
- [ ] Monitorar conexões de entrada na porta TCP/541 por 30 dias após recuperação
- [ ] Integrar IoCs do [[unc5820]] nas regras de detecção do SIEM
- [ ] Agendar auditoria de políticas de todos os FortiGates em 7 e 30 dias
---
## Lições Aprendidas
### Questões Obrigatórias
1. A porta TCP/541 estava exposta à internet? Por quê?
2. O [[cve-2024-47575|CVE-2024-47575]] estava no catálogo de patches críticos da organização?
3. Havia monitoramento de novos dispositivos registrados no FortiManager?
4. Quanto tempo o atacante teve acesso antes da detecção?
5. Quantos clientes foram afetados (se MSP)?
### Métricas de Impacto
| Métrica | Valor |
|---------|-------|
| FortiGates potencialmente comprometidos | |
| Credenciais exfiltradas (hash) | |
| Tempo de dwell antes da detecção | |
| Clientes afetados (se MSP) | |
| Políticas backdoor identificadas | |
### Melhorias Recomendadas
- [ ] Nunca expor porta TCP/541 (FGFM) à internet - apenas IPs internos dos FortiGates
- [ ] Implementar processo de patches críticos para CVEs CISA KEV em 48h
- [ ] Configurar alerta automático para novo registro de dispositivo no FortiManager
- [ ] Implementar FortiAnalyzer para auditoria centralizada de logs
- [ ] Segregar FortiManager em VLAN de gerenciamento isolada
- [ ] Habilitar `fgfm-deny-unknown` como configuração padrão em todos os deployments
---
## 1. Triagem Imediata
O primeiro objetivo antes de qualquer investigação forense é entender o **escopo do raio de impacto**.
### 1.1 Enumerar dispositivos sob gestão
1. Acesse o FortiManager (se ainda possível de forma segura) e navegue até **Device Manager → Managed Devices**.
2. Exporte a lista completa de dispositivos gerenciados: nome, serial number, IP de gerenciamento, versão de firmware.
3. Documente o número total de FortiGates sob gestão - cada um deles deve ser considerado potencialmente comprometido.
4. Identifique os FortiGates com maior criticidade (bordas de perímetro, segmentos de produção, ambientes de OT/ICS, DMZs).
5. Verifique se há **dispositivos não reconhecidos** na lista - presença de serial numbers desconhecidos é indicador de comprometimento imediato (ver [[#3. Indicadores de Comprometimento]]).
### 1.2 Verificar exposição do FortiManager
1. Confirme se a porta TCP/541 (FGFM) está exposta à internet ou a redes não confiáveis.
2. Verifique logs de conexões de entrada na porta 541 dos últimos 90 dias - o [[unc5820]] começou a explorar em junho de 2024, meses antes da divulgação pública.
3. Confirme a versão do FortiManager em uso e se corresponde a uma versão afetada:
- FortiManager 7.6.0
- FortiManager 7.4.0 a 7.4.4
- FortiManager 7.2.0 a 7.2.7
- FortiManager 7.0.0 a 7.0.12
- FortiManager 6.4.0 a 6.4.14
- FortiManager 6.2.0 a 6.2.12
> [!warning] Versões Cloud
> FortiManager Cloud 7.4.1 a 7.4.4 também está afetado. Verificar instâncias cloud separadamente.
### 1.3 Classificar severidade
| Condição | Severidade | Ação imediata |
|----------|------------|---------------|
| FortiManager exposto à internet + versão afetada | CRÍTICA | Isolamento imediato (ver seção 5) |
| FortiManager interno + evidência de IoC | ALTA | Isolamento imediato |
| FortiManager interno + sem evidência de IoC | MÉDIA | Investigação urgente, preparar isolamento |
| FortiManager já atualizado + sem IoC | BAIXA | Monitoramento reforçado |
---
## 2. Indicadores de Comprometimento
Baseados no advisory da CISA, análise do Mandiant e pesquisa do WatchTowr sobre [[cve-2024-47575|CVE-2024-47575]].
### 2.1 Indicadores de rede (IoCs)
IPs documentados da infraestrutura do [[unc5820]]:
```
45.32.41.202 # IP principal — primeiro uso: 2024-06-27
104.238.141.143
158.247.199.37
45.32.63.2
198.199.122.22
```
> [!info] Validação
> Estes IoCs são públicos (Mandiant/CISA). Verifique se estão ainda ativos antes de bloquear. # [VALIDAR NO SEU AMBIENTE]
**Padrão de conexão suspeito:**
- Conexão de entrada na porta TCP/541 de IP externo desconhecido
- Imediatamente seguida de conexão de saída do FortiManager para o mesmo IP na porta TCP/443
- Tráfego HTTP GET para `/dom.js` em infraestrutura externa (script de exfiltração)
- User-agent `curl/8.4.0` em requisições HTTP saindo do FortiManager
### 2.2 Indicadores no host (artefatos forenses)
**Arquivos suspeitos:**
- `/tmp/.tm` ou `/var/tmp/.tm` - arquivo comprimido gzip com configurações exfiltradas
- `/fds/data/unreg_devices.txt` - verificar serial numbers não reconhecidos
- `/fds/data/subs.dat` e `/fds/data/subs.dat.tmp` - verificar e-mails descartáveis e nomes de empresa falsos
**Artefatos documentados do UNC5820:**
- Serial number malicioso: `FMG-VMTM23017412` associado ao IP `45.32.41.202`
- E-mail descartável: `
[email protected]`
- Nome de empresa falso: `Purity Supreme`
- MD5 de `unreg_devices.txt` comprometido: `9DCFAB171580B52DEAE8703157012674`
**Conteúdo típico do arquivo `/tmp/.tm`:**
- `/var/dm/RCS/` - arquivos de configuração dos FortiGates gerenciados
- `revinfo.db` - metadados dos dispositivos gerenciados
- `devices.txt` - serial numbers e IPs de todos os dispositivos
- `/var/pm2/global.db` - políticas globais, IPS settings
### 2.3 Indicadores em logs
- Entrada de log com mensagem `"Added unregistered device to unregistered table"` ou equivalente
- Registro de novo dispositivo com serial number desconhecido no Global Objects database
- Comandos de API suspeitos executados via protocolo FGFM: `file_exchange`, `channel`, `som/export`
- Acesso à rota `/p/útil/show_device_info` via POST (backdoor Python THINCRUST documentado em campanhas relacionadas)
---
## 3. Detecção
### 3.1 Queries de log - Event Log do FortiManager
Acesse **System Settings → Event Log** ou exporte via CLI:
```bash
# Exportar logs de eventos em CSV
execute log-export
```
**Buscar por eventos de registro de dispositivo não autorizado:**
```
# Filtro por subtipo fgfm (FortiGate-FortiManager protocol)
subtype = fgfm
msg CONTAINS "unregistered"
# Filtro por subtipo devcfg (device configuration)
subtype = devcfg
action = "add"
```
**Habilitar log de requisições/respostas da API JSON (CLI):**
```bash
config system admin setting
set json-api-log enable
end
```
### 3.2 Queries para SIEM/Splunk
```spl
# [VALIDAR NO SEU AMBIENTE] - adaptar ao índice e sourcetype do seu FortiManager
index=fortimanager sourcetype=fortimanager_event subtype=fgfm "unregistered"
| table _time, src_ip, device_serial, msg
| sort -_time
# Detectar conexões de entrada na porta 541 de IPs externos
index=firewall dest_port=541 src_ip!=RFC1918
| stats count by src_ip, dest_ip, _time
| sort -count
```
```spl
# Detectar exfiltração - grandes volumes de dados saindo do FortiManager
index=netflow src_ip=<IP_FORTIMANAGER>
| stats sum(bytes_out) as total_bytes by dest_ip
| where total_bytes > 10000000
| sort -total_bytes
```
### 3.3 Verificação de integridade de arquivo
```bash
# Verificar presença de arquivos de staging do atacante
find /tmp /var/tmp -name ".tm" -type f 2>/dev/null
find /fds/data -name "unreg_devices.txt" -newer /var/log/fortimanager/audit.log
# Verificar modificações em arquivos Python (backdoor THINCRUST)
find /usr/local/lib/python3.8 -newer /etc/passwd -name "*.py" 2>/dev/null
```
---
## 4. Contenção
> [!danger] DESCONECTAR PRIMEIRO — AÇÃO PRIORITÁRIA
> **ANTES de qualquer investigação forense, o FortiManager deve ser isolado da rede.** Um FortiManager comprometido dá ao atacante acesso contínuo a todos os firewalls gerenciados. Cada minuto de atraso no isolamento é uma janela de exfiltração e reconfiguração em escala.
>
> **Protocolo de isolamento:**
> 1. **NÃO desligue o FortiManager** — preserve artefatos forenses em memória
> 2. **Bloqueie o tráfego de entrada e saída** no nível do switch/hipervisor — não via política do próprio FortiManager
> 3. **Mantenha os FortiGates gerenciados operando** com sua última configuração recebida — eles continuam funcionando de forma autônoma após perda de conectividade com o FortiManager
> 4. **Documente o timestamp exato** do isolamento para correlação forense
### 4.1 Passos de isolamento
1. **Acione o time de network/infra** imediatamente - isolamento requer ação no switch de acesso ou hipervisor.
2. No switch upstream do FortiManager: colocar a porta em VLAN de quarentena ou aplicar ACL bloqueando todo tráfego exceto acesso SSH de uma workstation forense dedicada.
3. Se FortiManager for VM: suspender interfaces de rede no hypervisor (vSphere/KVM/Hyper-V) sem desligar a VM.
4. Tirar **snapshot da VM** imediatamente após isolamento (se ambiente virtualizado) - preserva estado de memória e disco.
5. Verificar que os FortiGates gerenciados continuam operando - eles mantêm a última configuração enviada e funcionam de forma independente.
6. **Não reconectar** o FortiManager até conclusão da fase de erradicação.
### 4.2 Medidas de proteção para FortiGates gerenciados
Enquanto o FortiManager está isolado, para cada FortiGate crítico sob gestão:
1. Fazer backup manual das configurações atuais via CLI:
```bash
execute backup config flash
```
2. Verificar manualmente se há políticas não reconhecidas recentemente adicionadas.
3. Considerar desabilitar acesso de gerenciamento remoto via FortiManager temporariamente nos FortiGates mais críticos.
---
## 5. Auditoria de Políticas
Objetivo: identificar backdoors inseridos pelo atacante nas políticas de firewall de todos os dispositivos gerenciados.
### 5.1 Como o atacante manipula políticas
O [[unc5820]] e grupos relacionados exploram o acesso ao FortiManager para:
- Adicionar regras de permissão amplas em políticas existentes (técnica [[t1485-data-destruction|T1565 - Data Manipulation]])
- Criar contas administrativas locais em FortiGates gerenciados (técnica [[t1078-valid-accounts|T1078 - Valid Accounts]])
- Modificar configurações de NAT e roteamento para túneis de C2
- Criar VPN site-to-site não autorizadas para infraestrutura do atacante
### 5.2 Auditoria via histórico de revisões
O FortiManager mantém histórico de revisões de configuração. Para cada dispositivo gerenciado:
1. Navegue até **Device Manager → [Dispositivo] → Configuration → Revision History**.
2. Compare a revisão atual com a revisão anterior ao período suspeito (antes de junho de 2024 para o [[unc5820]]).
3. Use a função **Diff** para visualizar todas as mudanças - procure por:
- Novas políticas com `action = accept` e source/destination amplos
- Novas contas de administrador ou mudanças de senha
- Novos objetos VPN, túneis IPSec ou SSL-VPN
- Mudanças em rotas estáticas ou configurações BGP/OSPF
### 5.3 Script de auditoria via API do FortiManager
```python
# [VALIDAR NO SEU AMBIENTE] - exemplo de auditoria via API JSON-RPC
import requests
import json
fmg_url = "https://<FORTIMANAGER_IP>/jsonrpc"
# Buscar revisões de políticas de todos os ADOMs
payload = {
"method": "get",
"params": [{
"url": "/dvmdb/adom/root/device",
"option": ["get used"]
}],
"id": 1,
"session": "<SESSION_TOKEN>"
}
```
### 5.4 Checklist de auditoria por FortiGate
Para cada FortiGate gerenciado, verificar:
- [ ] Políticas de firewall - regras novas ou modificadas nos últimos 90 dias
- [ ] Administradores locais - contas não reconhecidas
- [ ] Usuários VPN - perfis SSL-VPN ou IPSec não autorizados
- [ ] Rotas estáticas - destinos externos não reconhecidos
- [ ] Objetos de endereço - IPs/ranges suspeitos adicionados
- [ ] Syslog/SNMP - destinatários não autorizados (exfiltração de logs)
---
## 6. Erradicação
### 6.1 FortiManager
1. **Fazer backup forense completo** (imagem de disco) antes de qualquer limpeza.
2. Remover arquivos de staging identificados:
```bash
rm -f /tmp/.tm /var/tmp/.tm
find /fds/data -name "unreg_devices.txt" -exec cat {} \; # auditar antes de remover
```
3. Remover dispositivos não autorizados do banco de dados:
- **Device Manager → Unauthorized Devices** - remover todos os seriais não reconhecidos.
4. Verificar e remover backdoors Python:
```bash
grep -r "show_device_info" /usr/local/lib/python3.8/ 2>/dev/null
```
5. **Aplicar patch** - atualizar para versão corrigida:
- FortiManager 7.6.1 ou superior
- FortiManager 7.4.5 ou superior
- FortiManager 7.2.8 ou superior
- FortiManager 7.0.13 ou superior
6. Habilitar `fgfm-deny-unknown` para bloquear registro de dispositivos desconhecidos:
```bash
config system global
set fgfm-deny-unknown enable
end
```
7. Implementar política local-in restringindo porta 541 apenas a IPs conhecidos dos FortiGates gerenciados:
```bash
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "<FORTIGATE_IPS>"
set dstaddr "all"
set action accept
set service "FGFM"
next
end
```
### 6.2 Rotação de credenciais - OBRIGATÓRIO
O [[unc5820]] exfiltra credenciais hash FortiOS256 de todos os dispositivos gerenciados. Assumir que **todas as credenciais estão comprometidas**:
1. Rotacionar senhas de **todos os administradores** em todos os FortiGates gerenciados.
2. Rotacionar credenciais de serviço usadas pelo FortiManager (LDAP bind, RADIUS, SNMP community strings).
3. Revogar e regenerar certificados de autenticação FGFM se custom certificates foram implementados.
4. Rotacionar credenciais de integração com FortiAnalyzer, FortiSIEM e demais produtos integrados.
5. Verificar e rotacionar credenciais de usuários VPN exportados nas configurações exfiltradas.
### 6.3 Reverter configurações suspeitas nos FortiGates
Para cada política ou objeto identificado como backdoor na auditoria (seção 5):
1. Reverter para revisão anterior ao comprometimento via FortiManager (após limpeza).
2. Ou aplicar manualmente via CLI em cada FortiGate, revertendo as mudanças identificadas.
3. Documentar todas as reversões com timestamp e responsável.
---
## 7. Recuperação
### 7.1 Restaurar do backup limpo
1. Identificar o **último backup limpo** do FortiManager - anterior ao período de exploração (antes de junho de 2024 para o [[unc5820]], mas verifique seu contexto específico).
2. Validar integridade do backup antes de restaurar:
```bash
# Verificar hash do arquivo de backup
sha256sum <arquivo_backup.dat>
```
3. Restaurar em ambiente isolado primeiro para válidação antes de reconectar à rede de produção.
4. Após restauração: verificar se todos os dispositivos gerenciados ainda aparecem corretamente no Device Manager.
### 7.2 Validação antes de reconectar
Antes de reconectar o FortiManager à rede de produção, confirmar:
- [ ] Patch de segurança aplicado (versão corrigida)
- [ ] `fgfm-deny-unknown` habilitado
- [ ] Local-in policy na porta 541 implementada
- [ ] Nenhum serial number não autorizado no Device Manager
- [ ] Arquivos de staging (`/tmp/.tm`) ausentes
- [ ] Backdoors Python removidos e integridade de arquivos verificada
- [ ] Todas as credenciais rotacionadas
- [ ] Logs habilitados (JSON API logging)
- [ ] FortiAnalyzer integrado para monitoramento contínuo
### 7.3 Monitoramento pós-recuperação
1. Configurar alertas para qualquer novo registro de dispositivo no FortiManager.
2. Monitorar conexões de entrada na porta TCP/541 por 30 dias após recuperação.
3. Integrar os IoCs do [[unc5820]] nas regras de detecção do SIEM.
4. Agendar auditoria de políticas de todos os FortiGates gerenciados em 7 e 30 dias.
---
## 8. Comúnicação Urgente
> [!warning] FortiManager comprometido é um incidente de nível executivo
> O comprometimento do FortiManager impacta potencialmente toda a infraestrutura de segurança de rede da organização. A comunicação com liderança deve ser imediata.
### 8.1 Comúnicação interna - primeira hora
| Destinatário | Canal | Prazo | Conteúdo |
|---|---|---|---|
| CISO / Diretor de Segurança | Chamada direta | Imediato | Escopo, ações tomadas, próximos passos |
| Gerência de Infra/Rede | Chamada + email | Imediato | Protocolo de isolamento, impacto nos FireGates |
| CTO / CIO | Email executivo | < 1 hora | Sumário não técnico, impacto no negócio |
| Time de Legal/Compliance | Email | < 2 horas | Avaliação LGPD, possível notificação à ANPD |
### 8.2 Protocolo LGPD
Se os dados exfiltrados incluem informações de usuários ou clientes (ex.: credenciais de VPN de usuários finais, configurações que revelam dados pessoais):
1. **Avaliar** se o incidente configura violação de dados pessoais nos termos da LGPD (Lei 13.709/2018).
2. **Notificar a ANPD** (Autoridade Nacional de Proteção de Dados) em até **72 horas** caso confirmada violação com risco relevante a titulares - conforme Art. 48 da LGPD.
3. **Notificar os titulares afetados** quando houver risco ou dano relevante (Art. 48, §1º).
4. **Documentar** todo o processo de resposta ao incidente para fins de prestação de contas (Art. 6º, X - accountability).
### 8.3 Comúnicação com clientes/parceiros
Se a organização é um MSP (Managed Service Provider) usando FortiManager para gerenciar infraestrutura de clientes:
1. Notificar **cada cliente** individualmente sobre o incidente.
2. Descrever quais de seus dados (configurações, credenciais) podem ter sido expostos.
3. Coordinar rotação de credenciais com cada cliente.
4. Considerar notificação regulatória específica para clientes em setores regulados (financeiro, saúde).
> [!info] MSPs são alvo prioritário
> O [[unc5820]] focou em MSPs que gerenciam FortiManager de múltiplos clientes, pois um único comprometimento expõe infraestrutura de dezenas de organizações — maximize comunicação proativa com clientes.
---
## 9. Referências e Links
### CVEs relacionadas
- [[cve-2024-47575|CVE-2024-47575]] - FortiJump: missing authentication no fgfmsd (CVSS 9.8, CISA KEV)
- [[cve-2024-23113|CVE-2024-23113]] - Format string no daemon fgfmd, encadeada em ataques
### MITRE ATT&CK
- [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do daemon FGFM exposto na porta 541
- [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais exfiltradas para movimento lateral
- [[t1485-data-destruction|T1565 - Data Manipulation]] - inserção de backdoors em políticas de firewall
### Threat actors
- [[unc5820]] - cluster de ameaça responsável pela exploração em massa desde junho de 2024
### Fontes externas
- [CISA KEV - CVE-2024-47575](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
- [Mandiant Blog - FortiManager Zero-Day](https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-CVE-2024-47575)
- [WatchTowr - FortiJump Technical Analysis](https://labs.watchtowr.com/hop-skip-fortijump-fortijumphigher-CVE-2024-23113-CVE-2024-47575/)
- [Fortinet Advisory - FG-IR-24-423](https://www.fortiguard.com/psirt/FG-IR-24-423)
- [NCSC UK - FortiManager Advisory](https://www.ncsc.gov.uk/news/vulnerability-fortinet-fortimanager)
### Notas relacionadas no vault
- [[_fortinet|Fortinet]] - perfil do vendor
- [[unc5820]] - perfil do threat actor
- [[fortimanager-mass-exploitation-2024]] - campanha documentada
---
*Última revisão: 2026-03-22 | Próxima revisão recomendada: 2026-09-22*