资安业者Fortinet周三（10月23日）发布公告，揭露网络设备管理平台FortiManager重大漏洞CVE-2024-47575（也被称做FortiJump），并警告已有实际利用的情况，有资安业者着手进行调查，表示在4个月前就有黑客掌握并用于攻击行动。

资安业者Mandiant表示，他们发现名为UNC5820的黑客组织，于6月27日就开始尝试利用上述漏洞攻击FortiManager，从而将受到管理的FortiGate防火墙组态数据流出。这些详细数据报含用户名及经过散列处理的密码，攻击者有机会进一步对FortiManager下手，并对受到管理的其他Fortinet设备进行横向移动，进而对企业环境发动进一步攻击。

不过，根据研究人员取得的情报，他们尚未发现黑客利用漏洞进行横向移动的迹象，而且也没有后续活动，对于攻击者的意图或是地理位置，目前仍不得而知。

他们先后看到两次漏洞利用的情况，第一次发生在6月27日，多台FortiManager设备收到来自特定IP位址及541端口通信协定的流量，几乎在同一时间，攻击者将多种Fortinet设备的组态配置文件，打包成Gzip压缩档/tmp/.tm。

到了9月23日，研究人员再度于相同组织看到漏洞利用的迹象，而且，这两次事故有个奇怪的模式，纳就是黑客在压缩档打包完成不久，就产生对外流量。

其中，在第2次利用漏洞的时候，攻击者将自己的设备向FortiManager进行注册。研究人员提及，一旦攻击者利用这项漏洞对FortiManager下手，该设备的管理主控台就有可能出现未经授权的「设备」。

虽然攻击者的动机仍不明朗，但Mandiant与Fortinet仍持续合作，针对各行各业超过50个可能会出现大规模攻击的FortiManager设备着手调查，并呼吁将FortiManager曝露在互联网的企业，应着手调查是否有遭到入侵的迹象。