Fortinet alerta sobre exploração de dia zero visando firewalls com interfaces expostas

A empresa de segurança cibernética Fortinet soou o alarme sobre uma campanha ativa de vulnerabilidade de dia zero visando dispositivos de firewall FortiGate com interfaces de gerenciamento expostas. Esses ataques, atribuídos a agentes de ameaças desconhecidos, interromperam organizações globalmente e ressaltaram a importância crítica de proteger a infraestrutura exposta.

Detalhes da campanha: como os ataques se desenrolaram

A atividade maliciosa, que começou em meados de novembro de 2024, aproveita um vetor de acesso inicial ainda não determinado para comprometer as interfaces de gerenciamento de firewall. Pesquisadores de segurança cibernética da Arctic Wolf acreditam que os invasores exploraram uma vulnerabilidade de dia zero, dada a rápida disseminação e as versões de firmware afetadas. Dispositivos executando versões de firmware entre 7.0.14 e 7.0.16 foram especificamente visados.

Os atacantes seguiram uma estratégia calculada de quatro fases:

1. Reconhecimento e varredura – Identificação de dispositivos vulneráveis usando ferramentas automatizadas e IPs incomuns.
2. Manipulação de configuração – Alteração das configurações de saída para auxiliar na coleta de informações.
3. Escalonamento de privilégios – Criação de contas de superadministrador e modificação de contas de usuários existentes.
4. Exploração e coleta de credenciais – Estabelecimento de túneis SSL VPN e extração de credenciais usando a técnica DCSync para movimentação lateral.

O uso da interface jsconsole por invasores e túneis VPN de provedores de hospedagem de servidores virtuais privados (VPS) foram indicadores consistentes de comprometimento.

Fortinet confirma vulnerabilidade crítica

Em 14 de janeiro de 2025, a Fortinet divulgou detalhes do CVE-2024-55591, uma vulnerabilidade crítica de bypass de autenticação que afeta o FortiOS e o FortiProxy. Com uma pontuação CVSS de 9,6, essa falha permite que invasores obtenham privilégios de superadministrador explorando o módulo Node.js WebSocket.

Versões impactadas

• FortiOS : 7.0.0 a 7.0.16 (corrigido em 7.0.17 e superior)
• FortiProxy : 7.0.0 a 7.0.19 e 7.2.0 a 7.2.12 (corrigido em 7.0.20 e 7.2.13, respectivamente)

A Fortinet aconselhou os clientes a aplicar atualizações imediatamente e monitorar atividades suspeitas. As organizações são instadas a limitar a exposição da interface de gerenciamento e restringir o acesso somente a usuários confiáveis.

Ação CISA: Um impulso para a mitigação

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou CVE-2024-55591 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). As agências federais devem abordar essa vulnerabilidade até 21 de janeiro de 2025.

Recomendações de mitigação

As organizações que usam produtos Fortinet devem tomar as seguintes medidas para mitigar os riscos:

1. Atualizar firmware – Aplique os patches mais recentes para FortiOS e FortiProxy conforme especificado no aviso da Fortinet.
2. Restringir acesso à interface de gerenciamento – Bloqueie o acesso público às interfaces de gerenciamento e use VPNs para administração remota.
3. Monitorar logs – Procure por logins incomuns ou alterações de configuração que indiquem comprometimento.
4. Habilitar MFA – Aplicar autenticação multifator para todas as contas administrativas.

A segmentação oportunista destaca a necessidade de vigilância

O escopo da campanha e a falta de perfis específicos de vítimas sugerem segmentação oportunista em vez de seleção deliberada. Atividade de login/logout automatizado e vitimologia diversa reforçam a necessidade de medidas de segurança robustas em organizações de todos os tamanhos e setores.

À medida que os ataques de dia zero se tornam cada vez mais sofisticados, garantir a aplicação de patches em tempo hábil, limitar a exposição e manter a vigilância da rede continua sendo essencial para a defesa contra ameaças em evolução.