Mandiant a publié des détails sur l'exploitation d'une vulnérabilité zero-day dans FortiManager (CVE-2024-47575), qu'ils ont observée pour la première fois en juin 2024. Cette vulnérabilité permet aux attaquants d'exécuter du code arbitraire sur les appareils concernés.
Ce que j'ai trouvé particulièrement intéressant, c'est la façon dont le groupe de menaces, suivi sous le nom d'UNC5820, a récupéré et exfiltré les données de configuration des appareils FortiGate gérés par le FortiManager exploité. Ce détail souligne à quel point il est crucial de protéger l'infrastructure de gestion de la sécurité, telle que FortiManager, car la compromettre peut avoir des effets en cascade sur l'ensemble du réseau.
Heureusement, Mandiant n'a trouvé aucune preuve que UNC5820 ait utilisé les données de configuration volées pour se déplacer latéralement dans les environnements des victimes. Cependant, le fait qu'ils aient fait l'effort de voler ces informations suggère qu'ils avaient probablement l'intention d'exploiter davantage l'accès compromis.
Cet incident nous rappelle à quel point il est important de rester vigilant en matière de sécurité des réseaux. Maintenir les systèmes à jour avec les correctifs de sécurité, surveiller les activités suspectes et mettre en œuvre le principe du moindre privilège peut réduire considérablement le risque d'être victime de telles attaques.
