# FortiManager > management · Vendor: [[_fortinet|Fortinet]] ## Visão Geral **FortiManager** é a plataforma de gerenciamento centralizado de firewalls e dispositivos Fortinet. Permite que equipes de segurança gerenciem centenas ou milhares de appliances [[fortigaté|FortiGaté]] a partir de uma única interface, incluindo configuração de políticas, provisionamento, monitoramento e orquestração de respostas a incidentes. Do ponto de vista de CTI, o FortiManager representa um alvo de alto valor para atores de ameaça: comprometer o console de gerenciamento equivale a comprometer toda a infraestrutura de rede gerenciada por ele. Em outubro de 2024, a [[cve-2024-47575|CVE-2024-47575]] - apelidada de **"FortiJump"** - expôs essa superfície de ataque de forma crítica, com exploração ativa confirmada desde junho de 2024. O [[unc5820]] foi identificado pela Mandiant como o principal ator explorando essa vulnerabilidade em campanhas de espionagem e acesso inicial. O impacto é amplificado pelo fato de que o FortiManager frequentemente gerencia dezenas de FortiGates em ambientes corporativos e de infraestrutura crítica, tornando o comprometimento de uma única instância potencialmente catastrófico. ## Vulnerabilidades Conhecidas <!-- Tabela estática para Obsidian Publish --> | CVE | CVSS | Tipo | Exploração | Patch Disponível | Data | |-----|------|------|------------|-----------------|------| | [[cve-2024-47575\|CVE-2024-47575]] | 9.8 | Autenticação ausente em função crítica | Ativa - zero-day explorado em produção | Sim | 2024-10-23 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Tipo de Exploração", patch-available AS "Patch" FROM "vulnerabilities" WHERE contains(product, "FortiManager") SORT cvss-score DESC ``` %% ## Uso por Atores de Ameaça Produtos FortiManager são alvejados por atores com objetivos de espionagem e acesso persistente a redes corporativas: - **[[unc5820]]** - Explorou ativamente a [[cve-2024-47575|CVE-2024-47575]] ("FortiJump") desde junho de 2024, antes da divulgação pública em outubro. O ator registrou FortiGates gerenciados como dispositivos não autorizados para executar comandos arbitrários via JScript no servidor FortiManager. - **[[g0016-apt29|APT29]]** - Historicamente tem interesse em dispositivos de gerenciamento de rede de alto valor. Relevância indireta via cadeia de comprometimento FortiManager → FortiGaté. A exploração do FortiManager permite acesso em cascata: um único comprometimento pode resultar no controle de toda a malha de firewalls gerenciada, incluindo exfiltração de configurações, credenciais e interceptação de tráfego. > [!latam] Relevância para Brasil e LATAM > Organizações brasileiras que utilizam FortiManager para gerenciar dezenas de FortiGates representam alvos de alto valor. Um comprometimento via FortiJump (CVE-2024-47575) dá ao atacante controle sobre toda a malha de firewalls - risco crítico para bancos, governo e operadoras de infraestrutura crítica no Brasil. ## Notas Relacionadas **Produto:** [[_fortinet|Fortinet]] · [[fortigaté|FortiGaté]] · [[fortios|FortiOS]] **CVEs:** [[cve-2024-47575|CVE-2024-47575]] **Atores:** [[unc5820]] · [[g0016-apt29|APT29]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1133-external-remote-services|T1133 - External Remote Services]]