CISA alerta sobre falha crítica da Fortinet enquanto Palo Alto e Cisco emitem patches de segurança urgentes

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma falha crítica de segurança, que afeta os produtos Fortinet, ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Esta inclusão, realizada na quarta-feira, destaca a seriedade da vulnerabilidade devido à exploração ativa da mesma. A falha é identificada como CVE-2024-23113, com uma pontuação de 9,8 no Sistema de Pontuação de Vulnerabilidade Comum (CVSS), e afeta uma série de produtos Fortinet, como FortiOS, FortiPAM, FortiProxy e FortiWeb.

Essa vulnerabilidade está associada à execução remota de código, possibilitada por um erro de formatação de string controlada externamente (CWE-134) no daemon fgfmd do FortiOS. Segundo o alerta emitido pela Fortinet em fevereiro de 2024, um invasor remoto e não autenticado pode explorar essa falha ao enviar solicitações cuidadosamente elaboradas, permitindo a execução de comandos ou códigos arbitrários.

Exploração e Medidas de Mitigação

Embora o boletim da Fortinet seja limitado em detalhes sobre como a vulnerabilidade está sendo explorada na prática, não há informações específicas sobre quem está se beneficiando dela e contra quais alvos. Em função da exploração ativa, a CISA ordenou que as agências do Poder Executivo Civil Federal (FCEB) implementem as mitigações recomendadas pela Fortinet até o dia 30 de outubro de 2024, a fim de garantir a proteção ideal de suas infraestruturas.

Novas Vulnerabilidades na Palo Alto Networks

No mesmo período, a Palo Alto Networks revelou uma série de vulnerabilidades críticas em seu software Expedition. As falhas podem permitir que um invasor acesse dados sensíveis, como conteúdos de banco de dados e arquivos arbitrários, além de possibilitar a gravação de arquivos em locais temporários do sistema.

A Palo Alto Networks detalhou as principais vulnerabilidades, que afetam todas as versões do Expedition anteriores à 1.2.96:

• CVE-2024-9463 (CVSS: 9,9): Uma falha de injeção de comando no sistema operacional, que permite a um invasor não autenticado executar comandos arbitrários como root.
• CVE-2024-9464 (CVSS: 9,3): Outra falha de injeção de comando, mas que requer um invasor autenticado para executar comandos no sistema operacional como root.
• CVE-2024-9465 (CVSS: 9,2): Uma vulnerabilidade de injeção de SQL, que permite que um invasor não autenticado acesse o conteúdo do banco de dados Expedition.
• CVE-2024-9466 (CVSS: 8,2): Uma falha que armazena informações sensíveis, como nomes de usuário, senhas e chaves de API em texto simples, permitindo que um invasor autenticado as revele.
• CVE-2024-9467 (CVSS: 7,0): Uma vulnerabilidade refletida de cross-site scripting (XSS), que possibilita a execução de JavaScript malicioso no navegador de um usuário autenticado, caso ele clique em um link malicioso, facilitando ataques de phishing.

Impacto e Ações Recomendadas

Embora ainda não haja evidências de que essas vulnerabilidades tenham sido exploradas ativamente, as técnicas para reproduzir as falhas já são de domínio público, graças ao trabalho da Horizon3.ai. Foram identificados aproximadamente 23 servidores Expedition expostos à internet, concentrados principalmente nos EUA, Bélgica, Alemanha, Holanda e Austrália. Como precaução, é recomendado restringir o acesso a usuários e redes autorizadas e desligar o software quando não estiver em uso ativo.

Cisco e a Correção de Vulnerabilidades Críticas

Além das vulnerabilidades da Fortinet e da Palo Alto Networks, a Cisco também lançou, na semana passada, uma correção para uma falha crítica de injeção de comando no Nexus Dashboard Fabric Controller (NDFC). Rastreada como CVE-2024-20432 (pontuação CVSS: 9,9), essa falha permite que um invasor remoto autenticado com baixos privilégios execute comandos arbitrários no dispositivo afetado.

A Cisco informou que essa vulnerabilidade decorre de uma autorização inadequada de usuários e de uma validação insuficiente dos argumentos de comando. A falha foi corrigida na versão 12.2.2 do NDFC, e as versões 11.5 e anteriores não são suscetíveis ao problema. Segundo o comunicado, um invasor poderia explorar a falha enviando comandos maliciosos a um endpoint da API REST ou por meio da interface de usuário da web, permitindo a execução de comandos com privilégios de administrador da rede.