A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) na quarta-feira adicionou uma falha crítica de segurança que afeta produtos da Fortinet ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade, identificada como CVE-2024-23113 (pontuação CVSS: 9.8), está relacionada a casos de execução remota de código que afetam FortiOS, FortiPAM, FortiProxy e FortiWeb.
"Uma vulnerabilidade de uso de string de formato controlada externamente [CWE-134] no daemon fgfmd do FortiOS pode permitir a um atacante remoto não autenticado executar código ou comandos arbitrários por meio de solicitações especialmente elaboradas," a Fortinet observou em um aviso sobre a falha em fevereiro de 2024.
Como é típico, o boletim é escasso em detalhes relacionados a como a deficiência está sendo explorada "in the wild", ou quem está armando isso e contra quem.
Diante da exploração ativa, as agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as mitigações fornecidas pelo fornecedor até 30 de outubro de 2024, para proteção ótima.
Palo Alto Networks Revela Bugs Críticos em Expedition
O desenvolvimento ocorre à medida que a Palo Alto Networks divulgou múltiplas falhas de segurança em Expedition que poderiam permitir a um atacante ler conteúdos de banco de dados e arquivos arbitrários, além de escrever arquivos arbitrários em locais de armazenamento temporário no sistema.
"Juntos, esses incluem informações como nomes de usuário, senhas em texto claro, configurações de dispositivos e chaves de API de dispositivos de firewalls PAN-OS," disse a Palo Alto Networks em um alerta de quarta-feira(09).
As vulnerabilidades, que afetam todas as versões do Expedition anteriores à 1.2.96, estão listadas abaixo -
CVE-2024-9463
(pontuação CVSS: 9.9) - Uma vulnerabilidade de injeção de comando no sistema operacional (OS) que permite a um atacante não autenticado executar comandos OS arbitrários como root
CVE-2024-9464
(pontuação CVSS: 9.3) - Uma vulnerabilidade de injeção de comando OS que permite a um atacante autenticado executar comandos OS arbitrários como root
CVE-2024-9465
(pontuação CVSS: 9.2) - Uma vulnerabilidade de injeção SQL que permite a um atacante não autenticado revelar conteúdos do banco de dados do Expedition
CVE-2024-9466
(pontuação CVSS: 8.2) - Uma vulnerabilidade de armazenamento em texto claro de informações sensíveis que permite a um atacante autenticado revelar nomes de usuários de firewall, senhas e chaves de API geradas usando essas credenciais
CVE-2024-9467
(pontuação CVSS: 7.0) - Uma vulnerabilidade de scripting entre sites (XSS) refletida que permite a execução de JavaScript malicioso no contexto do navegador de um usuário autenticado do Expedition se esse usuário clicar em um link malicioso, permitindo ataques de phishing que podem levar ao roubo de sessão do navegador Expedition
A empresa creditou Zach Hanley da Horizon3.ai pela descoberta e relato do
CVE-2024-9464
,
CVE-2024-9465
, e
CVE-2024-9466
, e Enrique Castillo da Palo Alto Networks pelo
CVE-2024-9463
,
CVE-2024-9464
,
CVE-2024-9465
, e
CVE-2024-9467
.
Não há evidências de que os problemas tenham sido explorados no ambiente externo, embora tenha dito que passos para reproduzir o problema já estejam no domínio público, cortesia da Horizon3.ai.
Existem aproximadamente 23 servidores Expedition expostos à internet, a maioria localizada nos EUA, Bélgica, Alemanha, Holanda e Austrália.
Como mitigações, é recomendável limitar o acesso a usuários, hosts ou redes autorizadas e desligar o software quando não estiver em uso ativo.
Cisco Corrige Falha no Nexus Dashboard Fabric Controller
Na semana passada, a Cisco também lançou patches para remediar uma falha crítica de execução de comando no Nexus Dashboard Fabric Controller (NDFC) que disse ser proveniente de uma autorização de usuário inadequada e validação insuficiente de argumentos de comando.
Rastreada como
CVE-2024-20432
(pontuação CVSS: 9.9), ela poderia permitir a um atacante remoto autenticado de baixo privilégio realizar um ataque de injeção de comando contra um dispositivo afetado.
A falha foi endereçada na versão 12.2.2 do NDFC.
Vale ressaltar que as versões 11.5 e anteriores não são suscetíveis.
"Um atacante poderia explorar essa vulnerabilidade enviando comandos elaborados para um endpoint da REST API afetada ou por meio da interface web UI," afirmou.
Um exploit bem-sucedido poderia permitir ao atacante executar comandos arbitrários no CLI de um dispositivo gerenciado pelo Cisco NDFC com privilégios de administrador de rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...