Fortinet confirma nova exploração de dia zero
A Fortinet corrige vulnerabilidades críticas, incluindo um dia zero que foi explorado desde pelo menos novembro de 2024.
A Fortinet publicou na terça-feira mais de uma dúzia de novos avisos descrevendo vulnerabilidades críticas e de alta gravidade encontradas recentemente nos produtos da empresa, incluindo uma falha de dia zero que foi explorada desde pelo menos novembro de 2024.
O dia zero é rastreado como CVE-2024-55591 e foi descrito pela Fortinet como uma vulnerabilidade crítica que afeta o FortiOS e o FortiProxy que pode ser explorada por um invasor remoto para obter privilégios de superadministrador usando solicitações especialmente criadas para o módulo websocket Node.js.
De acordo com a Fortinet, o CVE-2024-55591 afeta o FortiOS 7.0.0 a 7.0.16, o FortiProxy 7.2.0 a 7.2.12 e o FortiProxy 7.0.0 a 7.0.19. Os patches estão incluídos no FortiOS 7.0.17, FortiProxy 7.2.13 e FortiProxy 7.0.20.
A Fortinet confirmou a exploração selvagem e seu aviso inclui indicadores de comprometimento (IoCs) para ajudar os defensores a detectar ataques.
A notícia de um possível dia zero foi divulgada na semana passada, quando a empresa de segurança cibernética Arctic Wolf alertou que havia observado uma campanha direcionada aos firewalls Fortinet FortiGate que tiveram sua interface de gerenciamento exposta na Internet.
“A campanha envolveu logins administrativos não autorizados em interfaces de gerenciamento de firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras alterações de configuração”, disse a Arctic Wolf, acrescentando: “Embora o vetor de acesso inicial não seja definitivamente confirmado, uma vulnerabilidade de dia zero é altamente provável”.
Embora o comunicado da Fortinet não mencione o Arctic Wolf, os IoCs compartilhados por ambas as empresas indicam que o CVE-2024-55591 é o dia zero visto pelo Arctic Wolf em ataques. A Arctic Wolf notificou a Fortinet sobre os ataques em meados de dezembro, quando esta disse que estava ciente e investigando a atividade.
A Arctic Wolf rastreou a campanha em novembro e dezembro de 2024, vendo primeiro a verificação de vulnerabilidades, seguida de reconhecimento, estabelecimento de acesso VPN SSL e movimento lateral em sistemas comprometidos.
A Arctic Wolf relatou ter visto exploração oportunista contra um punhado de organizações, mas os objetivos dos invasores permanecem desconhecidos.
Outra vulnerabilidade crítica abordada pela Fortinet na terça-feira é a CVE-2023-37936, um problema de chave criptográfica codificada no FortiSwitch que pode permitir que um invasor remoto e não autenticado execute código usando solicitações criptográficas maliciosas.
Treze avisos publicados em 14 de janeiro abordam vulnerabilidades de alta gravidade que afetam produtos como FortiManager, FortiAnalyzer, FortiClient, FortiOS, FortiRecorder, FortiProxy, FortiSASE, FortiVoice, FortiWeb e FortiSwitch.
As falhas de segurança podem ser exploradas para persistência de conta após exclusão, gravação arbitrária de arquivos, código autenticado e execução de comandos, ataques de força bruta, extração de dados de configuração sem autenticação e causando uma condição DoS.
A Fortinet não sinalizou nenhuma dessas vulnerabilidades como sendo exploradas, mas apontou que uma delas foi divulgada pela WatchTowr.
Não é incomum que os agentes de ameaças visem vulnerabilidades de produtos Fortinet em seus ataques, por isso é importante que as organizações não negligenciem a correção ou mitigação da última rodada de falhas de segurança.
De acordo com a Fortinet, o CVE-2024-55591 afeta o FortiOS 7.0.0 a 7.0.16, o FortiProxy 7.2.0 a 7.2.12 e o FortiProxy 7.0.0 a 7.0.19. Os patches estão incluídos no FortiOS 7.0.17, FortiProxy 7.2.13 e FortiProxy 7.0.20.
A Fortinet confirmou a exploração selvagem e seu aviso inclui indicadores de comprometimento (IoCs) para ajudar os defensores a detectar ataques.
A notícia de um possível dia zero foi divulgada na semana passada, quando a empresa de segurança cibernética Arctic Wolf alertou que havia observado uma campanha direcionada aos firewalls Fortinet FortiGate que tiveram sua interface de gerenciamento exposta na Internet.
“A campanha envolveu logins administrativos não autorizados em interfaces de gerenciamento de firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras alterações de configuração”, disse a Arctic Wolf, acrescentando: “Embora o vetor de acesso inicial não seja definitivamente confirmado, uma vulnerabilidade de dia zero é altamente provável”.
Embora o comunicado da Fortinet não mencione o Arctic Wolf, os IoCs compartilhados por ambas as empresas indicam que o CVE-2024-55591 é o dia zero visto pelo Arctic Wolf em ataques. A Arctic Wolf notificou a Fortinet sobre os ataques em meados de dezembro, quando esta disse que estava ciente e investigando a atividade.
A Arctic Wolf rastreou a campanha em novembro e dezembro de 2024, vendo primeiro a verificação de vulnerabilidades, seguida de reconhecimento, estabelecimento de acesso VPN SSL e movimento lateral em sistemas comprometidos.
A Arctic Wolf relatou ter visto exploração oportunista contra um punhado de organizações, mas os objetivos dos invasores permanecem desconhecidos.
Outra vulnerabilidade crítica abordada pela Fortinet na terça-feira é a CVE-2023-37936, um problema de chave criptográfica codificada no FortiSwitch que pode permitir que um invasor remoto e não autenticado execute código usando solicitações criptográficas maliciosas.
Treze avisos publicados em 14 de janeiro abordam vulnerabilidades de alta gravidade que afetam produtos como FortiManager, FortiAnalyzer, FortiClient, FortiOS, FortiRecorder, FortiProxy, FortiSASE, FortiVoice, FortiWeb e FortiSwitch.
As falhas de segurança podem ser exploradas para persistência de conta após exclusão, gravação arbitrária de arquivos, código autenticado e execução de comandos, ataques de força bruta, extração de dados de configuração sem autenticação e causando uma condição DoS.
A Fortinet não sinalizou nenhuma dessas vulnerabilidades como sendo exploradas, mas apontou que uma delas foi divulgada pela WatchTowr.
Não é incomum que os agentes de ameaças visem vulnerabilidades de produtos Fortinet em seus ataques, por isso é importante que as organizações não negligenciem a correção ou mitigação da última rodada de falhas de segurança.
Fonte: SecurityWeek Por
Veja também:
- Seguro cibernético na era da digitalização
- 8 modelos de IA em redes 5G: ameaças e mitigações
- Agile Security Workflows: DevSecOps Hacks for CI/CD Pipeline
- Sistemas Microsoft e Cisco têm vulnerabilidades críticas
- Estrutura de Confiança Zero redefine a segurança
- Principais tendências de ameaças persistentes avançadas
- Previsões tecnológicas para 2025 e além
- Tendências em fraudes para 2025 e o futuro dos golpes digitais
- Sete ataques digitais que marcaram a América Latina em 2024
- Gêmeos digitais maliciosos alimentados por deepfake em 2025
- Segurança Cibernética em 2025
- Quando a inovação se torna um risco
Be the first to comment