133.000+ dispositivos Fortinet ainda vulneráveis

133.000+ dispositivos Fortinet ainda vulneráveis ​​a bug crítico de um mês. Uma enorme superfície de ataque para uma vulnerabilidade com vários PoCs disponíveis.

O volume de caixas Fortinet expostas à Internet pública e vulneráveis ​​a uma falha crítica de segurança do FortiOS com um mês de existência ainda é extremamente alto, apesar de um aumento gradual nas correções.

De acordo com os dados mais recentes da organização sem fins lucrativos de segurança Shadowserver , o número de dispositivos Fortinet vulneráveis ​​ao CVE-2024-21762 é de mais de 133.000 – apenas ligeiramente abaixo dos mais de 150.000 dez dias anteriores.

A Fortinet corrigiu o CVE-2024-21762 no início de fevereiro, há bem mais de um mês. É uma vulnerabilidade de gravidade de 9,6 em 10 que leva à execução remota de código (RCE) e apareceu em destaque durante a semana da Fortinet para esquecer no mês passado.

O maior número de exposições ocorre na Ásia, com 54.310 aparelhos ainda vulneráveis ​​ao bug crítico do RCE, mostram os dados . A América do Norte e a Europa ocupam o segundo e terceiro lugares com 34.945 e 28.058 respectivamente, enquanto a América do Sul, África e Oceania compreendem o restante.

O número de VPNs SSL expostas ilustra a ampla superfície de ataque para a vulnerabilidade crítica, que já é conhecida por ser explorada ativamente.

Quando foi divulgado pela primeira vez pela Fortinet, o fornecedor disse que havia evidências de que estava sendo usado como dia zero. A Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA logo corroborou isso, adicionando-o ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo assim que todas as agências federais o corrigissem dentro de um prazo apertado.

As provas de conceitos estão agora relativamente amplamente disponíveis on-line, o que significa que a probabilidade de um invasor procurar caixas vulneráveis ​​e abri-las é tão alta quanto tem sido desde que a vulnerabilidade foi divulgada. O patch rápido é fortemente recomendado.

“Este foi outro caso de um dispositivo de rede/segurança com uma vulnerabilidade bastante séria de corrupção de memória”, disse Dylan Pindur, pesquisador de segurança da Assetnote. “Também está longe de ser o primeiro para o FortiGate. Como costuma acontecer com esses problemas, as mitigações são conhecidas, depende apenas de serem aplicadas ou não.”

As desgraças continuam

Como observa Pindur, CVE-2024-21762 foi apenas uma vulnerabilidade que tem causado dores de cabeça aos administradores recentemente. Para piorar a situação, o fornecedor anunciou outro bug de gravidade crítica que levou ao RCE na semana passada, aumentando ainda mais a carga de trabalho de patches.

CVE-2023-48788 é uma falha de injeção de SQL no FortiClient Endpoint Management Server (EMS) que foi divulgada em 12 de março, com uma pontuação de gravidade de 9,3. 

Embora não haja menção de que esteja sendo explorado ativamente, especialistas da Tenable disseram que é provável que isso aconteça em breve.

Pesquisadores da GreyNoise começaram a rastrear explorações ativas de CVE-2023-48788, mas no momento em que este artigo foi escrito, os dados não mostravam sinais de atividade maliciosa.

“Devido ao direcionamento anterior dos dispositivos Fortinet e à notícia de uma futura prova de exploração de conceito para a falha, é provável que ocorra exploração em estado selvagem”disse Chris Boyd, engenheiro de pesquisa da Tenable.

O FortiOS e o FortiProxy da Fortinet têm sido alvos populares para agentes de ameaças, incluindo CVE-2023-27997, um buffer overflow crítico baseado em heap, e CVE-2022-40684, uma vulnerabilidade crítica de desvio de autenticação. 

Outras vulnerabilidades em dispositivos Fortinet atraíram a atenção de vários atores de ameaças de estados-nação e grupos de ransomware como o Conti . As vulnerabilidades da Fortinet foram incluídas como parte das listas de vulnerabilidades mais exploradas rotineiramente nos últimos anos.”

A CISA também divulgou um comunicado um dia antes da divulgação do CVE-2024-21762 pela Fortinet, alertando sobre o Volt Typhoon se pré-posicionando dentro da infraestrutura crítica dos EUA , usando vulnerabilidades em dispositivos de rede como o Fortinet como forma de entrada. nome usado para rastrear um conhecido grupo cibernético ofensivo patrocinado pelo Estado e alinhado com a China. 

Fonte: The Register

Veja também:

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!