Atualização 2/11/25 19:32: Após a publicação da nossa matéria, a Fortinet nos informou que a nova falha
CVE-2025-24472
, adicionada hoje ao FG-IR-24-535, não é um zero-day e já havia sido corrigida em janeiro.
Além disso, embora a atualização de hoje do advisory indique que ambas as falhas foram exploradas em ataques, e inclusive apresenta uma solução alternativa para o novo caminho de exploração de requisições proxy CSF, a Fortinet afirma que apenas o
CVE-2024-55591
foi explorado.
A Fortinet informo que, se um cliente já atualizou anteriormente com base nas orientações do FG-IR-24-535 /
CVE-2024-55591
, então já está protegido contra a vulnerabilidade recém-divulgada.
A Fortinet alertou hoje que atacantes estão explorando outro bug zero-day, agora corrigido no FortiOS e no FortiProxy, para sequestrar firewalls da Fortinet e invadir redes empresariais.
A exploração bem-sucedida dessa vulnerabilidade de bypass de autenticação (
CVE-2025-24472
) permite que atacantes remotos obtenham privilégios de super-administrador fazendo requisições proxy CSF maliciosamente elaboradas.
A falha de segurança afeta o FortiOS de 7.0.0 até 7.0.16, o FortiProxy de 7.0.0 até 7.0.19, e o FortiProxy de 7.2.0 até 7.2.12.
A Fortinet corrigiu-a no FortiOS 7.0.17 ou superior e no FortiProxy 7.0.20/7.2.13 ou superior.
A Fortinet adicionou o bug como um novo CVE-ID em um advisory de segurança emitido no mês passado, alertando os clientes de que atores de ameaça estavam explorando uma vulnerabilidade zero-day no FortiOS e no FortiProxy (rastreada como
CVE-2024-55591
), que afetava as mesmas versões de software.
No entanto, a falha
CVE-2024-55591
, agora corrigida, poderia ser explorada enviando requisições maliciosas ao módulo websocket do Node.js.
De acordo com a Fortinet, os atacantes exploram as duas vulnerabilidades para gerar usuários admin ou locais aleatórios em dispositivos afetados, adicionando-os a novos e existentes grupos de usuários VPN SSL.
Também foi observado que modificam políticas de firewall e outras configurações e acessam instâncias SSLVPN com contas rogue previamente estabelecidas "para obter um túnel para a rede interna."
Enquanto a Fortinet não forneceu informações adicionais sobre a campanha, a empresa de cibersegurança Arctic Wolf lançou um relatório com indicadores de comprometimento (IOCs) correspondentes, dizendo que firewalls vulneráveis Fortinet FortiGate com interfaces de gerenciamento expostas à Internet têm sido atacados desde pelo menos meados de novembro.
"A campanha envolveu logins administrativos não autorizados nas interfaces de gerenciamento dos firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras mudanças de configuração," disse a Arctic Wolf Labs.
Embora o vetor de acesso inicial não tenha sido definitivamente confirmado, uma vulnerabilidade zero-day é altamente provável.
Organizações devem desabilitar urgentemente o acesso de gerenciamento do firewall em interfaces públicas o mais rápido possível.
A Arctic Wolf Labs também forneceu esta linha do tempo para ataques de exploração em massa do
CVE-2024-55591
, dizendo que inclui quatro fases únicas:
-Escaneamento de vulnerabilidade (16 de novembro de 2024 a 23 de novembro de 2024);
-Reconhecimento (22 de novembro de 2024 a 27 de novembro de 2024);
-Configuração de VPN SSL (4 de dezembro de 2024 a 7 de dezembro de 2024);
-Movimento lateral (16 de dezembro de 2024 a 27 de dezembro de 2024).
"Dadas as sutis diferenças de tradecraft e infraestrutura entre as intrusões, é possível que múltiplos indivíduos ou grupos possam ter estado envolvidos nesta campanha, mas o uso de jsconsole foi um fio comum em todo o lugar," acrescentou.
A Arctic Wolf Labs acrescentou que notificou a Fortinet sobre os ataques em 12 de dezembro e recebeu confirmação da equipe de resposta a incidentes de segurança de produtos (PSIRT) da empresa cinco dias depois de que a atividade era conhecida e já estava sob investigação.
A Fortinet aconselhou os administradores que não podem implementar imediatamente as atualizações de segurança a proteger firewalls vulneráveis desabilitando a interface administrativa HTTP/HTTPS ou limitando os endereços IP que podem alcançá-la por meio de políticas locais, como uma solução alternativa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...