Categories: ALERTAS

Hackers abusam ativamente de vulnerabilidades em produtos Fortinet

Últimas descobertas

De acordo com os pesquisadores da Cyble , a vulnerabilidade afeta FortiOS versão 7.2.0 a 7.2.1, FortiOS versão 7.0.0 a 7.0.6, FortiProxy versão 7.2.0, FortiProxy versão 7.0.0 a 7.0.6, FortiSwitchManager versão 7.2.0, e FortiSwitchManager versão 7.0.0.

Ao abusar da vulnerabilidade, um invasor pode modificar as chaves SSH do administrador para fazer login no sistema comprometido, adicionar novos usuários locais, atualizar as configurações de rede para redirecionar o tráfego e baixar a configuração do sistema.
Além disso, a vulnerabilidade permite que um invasor não autenticado obtenha acesso completo ao sistema de destino, execute operações na interface administrativa por meio de solicitações HTTP ou HTTPS especialmente criadas e interaja com todos os terminais de API de gerenciamento.
Com base e conhecimento, o invasor pode lançar outros ataques contra o restante do ambiente de TI.

Cronograma de vulnerabilidade

No início de outubro, a Fortinet divulgou a vulnerabilidade e pediu aos clientes que realizassem imediatamente uma atualização de software. Posteriormente, emitiu uma notificação por e-mail para os clientes selecionados, fornecendo um aviso confidencial, juntamente com conselhos de mitigação.
Em meados de outubro, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Vários blogs técnicos e POCs foram lançados em domínio público e a exploração ativa começou após a escalada dos ataques.

Informações adicionais

Os pesquisadores descobriram que existem mais de cem mil firewalls FortiGate expostos na Internet que provavelmente estão sob o escopo de invasores e estão expostos à vulnerabilidade.
Além disso, o acesso do FortiOS para várias entidades público-privadas foi distribuído em fóruns russos de crimes cibernéticos desde outubro.

Conclusão

A vulnerabilidade recém-divulgada afeta significativamente a postura de segurança da organização que usa esses produtos. Os invasores estão tentando utilizar o conhecimento sobre explorações conhecidas para causar perdas monetárias, financeiras e de reputação às organizações. Portanto, as organizações são aconselhadas a atualizar imediatamente os produtos afetados com o patch mais recente lançado pelo fornecedor oficial, implementar segmentação de rede adequada e controles de acesso e implementar backups seguros para proteger ativos críticos.

Fonte: https://www.cyware.com

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.