Hackers abusam ativamente de vulnerabilidades em produtos Fortinet

Últimas descobertas

De acordo com os pesquisadores da Cyble , a vulnerabilidade afeta FortiOS versão 7.2.0 a 7.2.1, FortiOS versão 7.0.0 a 7.0.6, FortiProxy versão 7.2.0, FortiProxy versão 7.0.0 a 7.0.6, FortiSwitchManager versão 7.2.0, e FortiSwitchManager versão 7.0.0.

• Ao abusar da vulnerabilidade, um invasor pode modificar as chaves SSH do administrador para fazer login no sistema comprometido, adicionar novos usuários locais, atualizar as configurações de rede para redirecionar o tráfego e baixar a configuração do sistema.
• Além disso, a vulnerabilidade permite que um invasor não autenticado obtenha acesso completo ao sistema de destino, execute operações na interface administrativa por meio de solicitações HTTP ou HTTPS especialmente criadas e interaja com todos os terminais de API de gerenciamento.
• Com base e conhecimento, o invasor pode lançar outros ataques contra o restante do ambiente de TI.

Cronograma de vulnerabilidade

• No início de outubro, a Fortinet divulgou a vulnerabilidade e pediu aos clientes que realizassem imediatamente uma atualização de software. Posteriormente, emitiu uma notificação por e-mail para os clientes selecionados, fornecendo um aviso confidencial, juntamente com conselhos de mitigação.
• Em meados de outubro, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Vários blogs técnicos e POCs foram lançados em domínio público e a exploração ativa começou após a escalada dos ataques.

Informações adicionais

• Os pesquisadores descobriram que existem mais de cem mil firewalls FortiGate expostos na Internet que provavelmente estão sob o escopo de invasores e estão expostos à vulnerabilidade.
• Além disso, o acesso do FortiOS para várias entidades público-privadas foi distribuído em fóruns russos de crimes cibernéticos desde outubro.

Conclusão

A vulnerabilidade recém-divulgada afeta significativamente a postura de segurança da organização que usa esses produtos. Os invasores estão tentando utilizar o conhecimento sobre explorações conhecidas para causar perdas monetárias, financeiras e de reputação às organizações. Portanto, as organizações são aconselhadas a atualizar imediatamente os produtos afetados com o patch mais recente lançado pelo fornecedor oficial, implementar segmentação de rede adequada e controles de acesso e implementar backups seguros para proteger ativos críticos.

Fonte: https://www.cyware.com