133.000+ dispositivos Fortinet ainda vulneráveis a bug crítico de um mês. Uma enorme superfície de ataque para uma vulnerabilidade com vários PoCs disponíveis.
O volume de caixas Fortinet expostas à Internet pública e vulneráveis a uma falha crítica de segurança do FortiOS com um mês de existência ainda é extremamente alto, apesar de um aumento gradual nas correções.
De acordo com os dados mais recentes da organização sem fins lucrativos de segurança Shadowserver , o número de dispositivos Fortinet vulneráveis ao CVE-2024-21762 é de mais de 133.000 – apenas ligeiramente abaixo dos mais de 150.000 dez dias anteriores.
A Fortinet corrigiu o CVE-2024-21762 no início de fevereiro, há bem mais de um mês. É uma vulnerabilidade de gravidade de 9,6 em 10 que leva à execução remota de código (RCE) e apareceu em destaque durante a semana da Fortinet para esquecer no mês passado.
O maior número de exposições ocorre na Ásia, com 54.310 aparelhos ainda vulneráveis ao bug crítico do RCE, mostram os dados . A América do Norte e a Europa ocupam o segundo e terceiro lugares com 34.945 e 28.058 respectivamente, enquanto a América do Sul, África e Oceania compreendem o restante.
O número de VPNs SSL expostas ilustra a ampla superfície de ataque para a vulnerabilidade crítica, que já é conhecida por ser explorada ativamente.
Quando foi divulgado pela primeira vez pela Fortinet, o fornecedor disse que havia evidências de que estava sendo usado como dia zero. A Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA logo corroborou isso, adicionando-o ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo assim que todas as agências federais o corrigissem dentro de um prazo apertado.
As provas de conceitos estão agora relativamente amplamente disponíveis on-line, o que significa que a probabilidade de um invasor procurar caixas vulneráveis e abri-las é tão alta quanto tem sido desde que a vulnerabilidade foi divulgada. O patch rápido é fortemente recomendado.
“Este foi outro caso de um dispositivo de rede/segurança com uma vulnerabilidade bastante séria de corrupção de memória”, disse Dylan Pindur, pesquisador de segurança da Assetnote. “Também está longe de ser o primeiro para o FortiGate. Como costuma acontecer com esses problemas, as mitigações são conhecidas, depende apenas de serem aplicadas ou não.”
As desgraças continuam
Como observa Pindur, CVE-2024-21762 foi apenas uma vulnerabilidade que tem causado dores de cabeça aos administradores recentemente. Para piorar a situação, o fornecedor anunciou outro bug de gravidade crítica que levou ao RCE na semana passada, aumentando ainda mais a carga de trabalho de patches.
CVE-2023-48788 é uma falha de injeção de SQL no FortiClient Endpoint Management Server (EMS) que foi divulgada em 12 de março, com uma pontuação de gravidade de 9,3.
Embora não haja menção de que esteja sendo explorado ativamente, especialistas da Tenable disseram que é provável que isso aconteça em breve.
Pesquisadores da GreyNoise começaram a rastrear explorações ativas de CVE-2023-48788, mas no momento em que este artigo foi escrito, os dados não mostravam sinais de atividade maliciosa.
“Devido ao direcionamento anterior dos dispositivos Fortinet e à notícia de uma futura prova de exploração de conceito para a falha, é provável que ocorra exploração em estado selvagem”, disse Chris Boyd, engenheiro de pesquisa da Tenable.
O FortiOS e o FortiProxy da Fortinet têm sido alvos populares para agentes de ameaças, incluindo CVE-2023-27997, um buffer overflow crítico baseado em heap, e CVE-2022-40684, uma vulnerabilidade crítica de desvio de autenticação.
“Outras vulnerabilidades em dispositivos Fortinet atraíram a atenção de vários atores de ameaças de estados-nação e grupos de ransomware como o Conti . As vulnerabilidades da Fortinet foram incluídas como parte das listas de vulnerabilidades mais exploradas rotineiramente nos últimos anos.”
A CISA também divulgou um comunicado um dia antes da divulgação do CVE-2024-21762 pela Fortinet, alertando sobre o Volt Typhoon se pré-posicionando dentro da infraestrutura crítica dos EUA , usando vulnerabilidades em dispositivos de rede como o Fortinet como forma de entrada. nome usado para rastrear um conhecido grupo cibernético ofensivo patrocinado pelo Estado e alinhado com a China.
Fonte: The Register
Veja também:
- Sites WordPress visados por nova campanha de malware
- O que acontece com os dados na web depois que alguém morre?
- Mulheres são principal alvo de golpes de relacionamento
- Inteligência artificial em discussão na União Europeia
- Alerta para ataques cibernéticos envolvendo a declaração do Imposto de Renda
- Brasil é o país mais vulnerável a ataques hackers na América Latina
- Boletos e QRCode PIX: novo golpe frauda pagamentos sem infectar o PC
- Ataques de Malware em saúde aumentaram 10% em 2023
- Escola da Nuvem e Instituto PROA formam gratuitamente 143 pessoas
- Resposta a incidentes cibernéticos: processo crítico para a economia digital brasileira em 2024
- Nova pesquisa expõe riscos de segurança em plug-ins ChatGPT
- LGPD: Empresas devem ter estratégia robusta de gestão de vídeos
Deixe sua opinião!