Suposto 0-Day da Fortinet está à venda em cantos obscuros da web

Por Swagta Nath

Um agente de ameaças teria anunciado um exploit de dia zero até então desconhecido, direcionado aos firewalls FortiGate da Fortinet, em um fórum importante da dark web. O exploit supostamente permite a execução remota de código (RCE) não autenticada e o acesso total à configuração do FortiOS, permitindo efetivamente que invasores assumam o controle de sistemas vulneráveis ​​sem a necessidade de credenciais de login.

Capacidades de exploração geram sérios alarmes

A publicação na dark web, observada pela plataforma de inteligência de ameaças ThreatMon , detalha uma exploração que não apenas fornece acesso em nível de sistema aos dispositivos FortiGate, mas também concede aos invasores visibilidade de arquivos de configuração críticos. Entre eles estão:

• Senhas de usuários locais criptografadas armazenadas emlocal_users.json
• Credenciais e permissões de administrador deadmin_accounts.json
• Configurações de autenticação de dois fatores (2FA) viatwo_factor.json
• Regras de firewall, configurações de NAT e mapeamentos de IP internos

Esse acesso pode permitir que invasores desmantelem as defesas principais da rede, ignorem protocolos de segurança e se infiltrem em sistemas conectados.

Preocupações repetidas com vulnerabilidades da Fortinet

Esta revelação se soma a uma lista crescente de vulnerabilidades graves encontradas em produtos Fortinet. No início deste ano, um grupo de hackers conhecido como Belsen Group vazou dados de configuração confidenciais de mais de 15.000 firewalls FortiGate, explorando uma falha de bypass de autenticação mais antiga — CVE-2022-40684 — divulgada pela primeira vez em outubro de 2022.

Mais recentemente, a Fortinet reconheceu o CVE-2024-55591, um bug crítico no FortiOS e no FortiProxy que permitia a escalada de privilégios para “superadministradores” por meio de solicitações especialmente elaboradas. Apesar da disponibilização de patches, muitos dispositivos expostos permanecem sem patches meses após a emissão dos alertas.

Possíveis consequências: do acesso não autorizado às violações em toda a rede

O exploit recentemente anunciado, se autêntico, traz implicações graves:

• Aquisição administrativa : hackers podem reconfigurar dispositivos ou desabilitar recursos de segurança.
• Intrusão de rede : firewalls explorados podem ser aproveitados como pontos de entrada para ataques mais amplos.
• Roubo de credenciais : o acesso a nomes de usuários e senhas armazenados pode resultar em movimentação lateral ou violações de dados.
• Interrupção operacional : políticas de firewall modificadas podem dificultar o tráfego de rede ou criar backdoors exploráveis.

Relatórios sugerem que mais de 300.000 firewalls Fortinet podem estar vulneráveis ​​a explorações semelhantes, ampliando a urgência de ações defensivas imediatas.

Resposta e recomendações de segurança da Fortinet

Historicamente, a Fortinet incentiva os clientes a aplicar atualizações de firmware prontamente e a restringir o acesso administrativo remoto, especialmente via HTTP/HTTPS. Os avisos de segurança emitidos pela empresa frequentemente incluem:

• Indicadores de Compromisso (IOCs)
• Mitigações recomendadas
• Práticas de reforço de configuração

No entanto, especialistas do setor alertam que a adoção de patches continua inconsistente, deixando milhares de dispositivos expostos muito tempo depois do lançamento dos patches.

Chamada para ação: a defesa proativa é essencial

À medida que os cibercriminosos intensificam seu foco na infraestrutura de segurança de rede, os especialistas pedem que as organizações:

• Atualize regularmente o FortiOS e o firmware associado
• Restringir o acesso remoto às interfaces de gerenciamento do firewall
• Monitore registros de tráfego para detectar anomalias ou acesso não autorizado
• Audite as configurações do firewall e aplique políticas de controle de acesso fortes

Este último incidente ressalta uma verdade crítica no cenário de ameaças atual: quando as próprias ferramentas de segurança se tornam vetores de ataque, a vigilância, a velocidade na aplicação de patches e as defesas em camadas são mais vitais do que nunca.