Mandiant ha publicado detalles sobre la explotación de una vulnerabilidad de día cero en FortiManager (CVE-2024-47575), que observaron por primera vez siendo explotada en junio de 2024. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en los dispositivos afectados.
Lo que me pareció particularmente interesante es cómo el grupo de amenazas, rastreado como UNC5820, preparó y exfiltró datos de configuración de dispositivos FortiGate administrados por el FortiManager explotado. Este detalle resalta cuán crucial es proteger la infraestructura de administración de seguridad, como FortiManager, ya que comprometerla puede tener efectos en cascada en toda la red.
Afortunadamente, Mandiant no encontró evidencia de que UNC5820 aprovechara los datos de configuración robados para moverse lateralmente dentro de los entornos de las víctimas. Sin embargo, el hecho de que se esforzaran por robar esta información sugiere que probablemente planearon explotar aún más el acceso comprometido.
Este incidente sirvió como un buen recordatorio de lo importante que es permanecer alerta sobre la seguridad de la red. Mantener los sistemas actualizados con parches de seguridad, monitorear actividades sospechosas e implementar el principio de privilegio mínimo puede reducir significativamente el riesgo de ser víctima de tales ataques.
