Mandiant telah merilis detail tentang eksploitasi kerentanan zero-day di FortiManager (CVE-2024-47575), yang pertama kali mereka amati dieksploitasi pada Juni 2024. Kerentanan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer pada perangkat yang terpengaruh.
Yang menurut saya sangat menarik adalah bagaimana kluster ancaman, yang dilacak sebagai UNC5820, menyiapkan dan mengeksfiltrasi data konfigurasi dari perangkat FortiGate yang dikelola oleh FortiManager yang dieksploitasi. Detail ini menyoroti betapa pentingnya melindungi infrastruktur manajemen keamanan, seperti FortiManager, karena membahayakannya dapat memiliki efek domino pada seluruh jaringan.
Untungnya, Mandiant tidak menemukan bukti bahwa UNC5820 memanfaatkan data konfigurasi yang dicuri untuk bergerak secara lateral di dalam lingkungan korban. Namun, fakta bahwa mereka berusaha mencuri informasi ini menunjukkan bahwa mereka kemungkinan besar berencana untuk mengeksploitasi akses yang disusupi lebih lanjut.
Insiden ini menjadi pengingat yang baik tentang betapa pentingnya untuk tetap waspada terhadap keamanan jaringan. Menjaga sistem tetap mutakhir dengan tambalan keamanan, memantau aktivitas yang mencurigakan, dan menerapkan prinsip hak istimewa paling rendah dapat secara signifikan mengurangi risiko menjadi korban serangan semacam itu.
