Fortinet alerta sobre falha crítica no SSL VPN do FortiOS provavelmente sob exploração ativa
9 de Fevereiro de 2024

A Fortinet divulgou uma nova falha de segurança crítica no FortiOS SSL VPN, que acredita-se estar sendo explorada em ataques reais.

A vulnerabilidade, CVE-2024-21762 (pontuação CVSS: 9.6), permite a execução de código e comandos arbitrários.

"Uma vulnerabilidade de gravação fora dos limites [CWE-787] no FortiOS pode permitir que um invasor remoto não autenticado execute código ou comando arbitrário através de pedidos HTTP especialmente elaborados", disse a empresa em um boletim lançado na quinta-feira.

Ela ainda reconheceu que a questão está "potencialmente sendo explorada em ataques reais," sem fornecer detalhes específicos sobre como está sendo usada como arma e por quem.

As seguintes versões são impactadas pela vulnerabilidade.

Vale ressaltar que o FortiOS 7.6 não é afetado.

FortiOS 7.4 (versões 7.4.0 até 7.4.2) - Atualize para 7.4.3 ou acima
FortiOS 7.2 (versões 7.2.0 até 7.2.6) - Atualize para 7.2.7 ou acima
FortiOS 7.0 (versões 7.0.0 até 7.0.13) - Atualize para 7.0.14 ou acima
FortiOS 6.4 (versões 6.4.0 até 6.4.14) - Atualize para 6.4.15 ou acima
FortiOS 6.2 (versões 6.2.0 até 6.2.15) - Atualize para 6.2.16 ou acima
FortiOS 6.0 (todas as versões) - Migre para uma versão corrigida

O desenvolvimento ocorre quando a Fortinet emitiu patches para CVE-2024-23108 e CVE-2024-23109 , impactando o supervisor FortiSIEM e permitindo que um invasor remoto não autenticado execute comandos não autorizados através de solicitações de API manipuladas.

Anteriormente, alega-se que atores de ameaças chineses exploraram falhas zero-day em aparelhos da Fortinet para fornecer uma ampla gama de implantes, como BOLDMOVE, THINCRUST e CASTLETAP.

Ainda segue um aviso do governo dos EUA sobre um grupo de estado-nação chinês chamado Volt Typhoon, que tem como alvo infraestrutura crítica no país para persistência oculta a longo prazo, tirando proveito de falhas conhecidas e zero-day em eletrodomésticos de rede como Fortinet, Ivanti Connect Secure, NETGEAR, Citrix e Cisco para acesso inicial.

A China, que negou as alegações, acusou os EUA de conduzir seus próprios ataques cibernéticos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...