פגם "קריטי" של פורטינט מנוצל זה חודשים

פרצה בדרגת חומרה קריטית באחד מפתרונות האבטחה של פורטינט (Fortinet) נוצלה על ידי גורמי איום בסייבר כבר מסוף יוני, כך על פי חוקרי מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud).

המתקפות שמנצלות את הפגם – CVE-2024-47575, פגעו כבר בעשרות מכשירים.

בשבוע שעבר פורטינט הודיעה כי הפגיעות עלולה לאפשר הפעלה מרחוק של קוד על ידי שחקן איום לא מאומת. לפי ענקית האבטחה, "דיווחים הראו שהפגיעות הזו מנוצלת בשטח".

לפי BleepingComputer, ספקית אבטחת הסייבר הזהירה באופן פרטי את לקוחותיה מפני הפרצה ב-FortiManager כמה ימים מוקדם יותר החודש, ב-13 באוקטובר. עצם קיומה של החולשה הוזכר ברשת גם לפני ההודעה של פורטינט בשבוע שעבר, בין היתר על ידי החוקר קווין בומונט, שכינה את הפגם "פורטיג'אמפ".

חוקרי מנדיאנט אמרו, כי הם הצליחו להתחקות אחר מתקפות שמנצלות את החולשה – לפחות עד יוני. "ניסיון הניצול המוקדם ביותר שנצפה על ידינו התרחש ב-27 ביוני 2024", כתבו החוקרים בפוסט.

"נכון לחודש אוקטובר, אנו במנדיאנט עובדים עם פורטינט כדי לחקור את הניצול ההמוני של FortiManager ביותר מ-50 מכשירים. אלה, הנמצאים במגזרי תעשייה שונים, עלולים להיפגע", כתבו החוקרים.

לפי חוקרי מנדיאנט, "לאחר שפגעו ב-FortiManager, התוקפים נצפו מחלצים נתוני תצורה עבור מכשירי פיירוול של FortiGate – שנוהלו באמצעות הכלי. הנתונים שחולצו עלולים לסכן עוד יותר את FortiManager, לעבור לרוחב מכשירי פורטינט המנוהלים, ובסופו של דבר – להתמקד בסביבה הארגונית".

מנדיאנט ייחסה את ההתקפות לקבוצת ההאקרים UNC5820, שאחריה הם עוקבים זה זמן, אולם "אין לנו מספיק נתונים כדי להעריך את המוטיבציה או המיקום של השחקנים", כתבו החוקרים.

פורטינט הודיעה לאחר הזיהוי של הפגיעות, כי היא "העבירה במהירות מידע קריטי ומשאבים ללקוחות… גישה זו עולה בקנה אחד עם התהליכים והשיטות המומלצות שלנו לגילוי אחראי. זאת, כדי לאפשר ללקוחות לחזק את מצב האבטחה שלהם לפני הפרסום הפומבי".

פורטינט הוסיפה כי היא קוראת ללקוחות "לעקוב אחר ההנחיות שניתנו, כדי ליישם את הדרכים לעקיפת הבעיה ולבצע את התיקונים".

הפגיעות קיבלה דירוג חומרה "קריטי", עם ציון של 9.8 מתוך 10.0. פורטינט פרסמה תיקונים לפגיעות, בגרסאות המושפעות של FortiManager ו-FortiManager Cloud. לפי ענקית האבטחה, "האימות החסר עבור הפגיעות בפונקציות קריטיות עלול לאפשר לתוקף להפעיל קוד מרחוק באמצעות בקשות בעלות מבנה מיוחד".

הגרסאות של FortiManager המושפעות מהבעיה הן: 6.2, 6.4, 7.0, 7.2, 7.4 ו-7.6. החולשה משפיעה גם על גרסאות 6.4, 7.0, 7.2 ו-7.4 של FortiManager Cloud.

חוקר האבטחה המוכר קווין בומונט, שנמנה עם החוקרים שהפריכו את סיפור "מתקפת ה-DDoS של מברשות השיניים" ולשעבר  מנהל מרכז תפעול אבטחה באימפרבה, כתב, כי "המתקפות המנצלות את הפרצה ברמת החומרה הקריטית של פורטינט, מכוונות – ככל הנראה – לספקיות שירותי אינטרנט. זאת, כחלק מקמפיין ריגול של מדינות. ספקיות שירותים מנוהלים הן לעתים קרובות המשתמשות בכלי הניהול של FortiManager, מה שמרמז על כך שהן, ככל הנראה, היו ב'בנק המטרות' של התוקפים". בומונט התייחס למועד הגילוי המאוחר של החברה ואמר כי "אני לא בטוח שהנרטיב של פורטינט, שהם מגנים על לקוחות בכך שהם לא חושפים בפומבי חולשה – אכן מגן על הלקוחות. מה שאינו שקוף ופומבי לא מגן על איש".

לפי קייטלין קונדון, מנהלת מחקר פגיעות ומודיעין ב-Rapid7, "ההודעה של פורטינט אינה כוללת מידע על יריבים ספציפיים המנצלים את הפגיעות… עם זאת, מכשירי פורטינט מהווים זה זמן רב מטרות פופולריות עבור שחקני איום בחסות מדינה".