Mandiant 发布了有关 FortiManager 中零日漏洞 (CVE-2024-47575) 利用的详细信息,他们首次观察到该漏洞是在 2024 年 6 月被利用的。此漏洞允许攻击者在受影响的设备上执行任意代码。
我发现特别有趣的是,被追踪为 UNC5820 的威胁集群如何从被利用的 FortiManager 管理的 FortiGate 设备中暂存和窃取配置数据。此细节突出了保护 FortiManager 等安全管理基础设施的重要性,因为破坏它可能会对整个网络产生连锁反应。
幸运的是,Mandiant 没有发现 UNC5820 利用被盗的配置数据在受害者环境中横向移动的证据。但是,他们努力窃取这些信息的事实表明,他们可能计划进一步利用受损的访问权限。
此事件很好地提醒我们,保持网络安全警惕性至关重要。使用安全补丁程序使系统保持最新状态、监控可疑活动以及实施最小权限原则可以显著降低成为此类攻击受害者的风险。
