Atacantes estão explorando uma nova vulnerabilidade zero-day de bypass de autenticação no FortiOS e FortiProxy para sequestrar firewalls da Fortinet e violar redes empresariais.
Essa falha de segurança (identificada como
CVE-2024-55591
) afeta o FortiOS 7.0.0 até o 7.0.16, FortiProxy 7.0.0 até o 7.0.19, e FortiProxy 7.2.0 até o 7.2.12.
A exploração bem-sucedida permite que atacantes remotos ganhem privilégios de super-administrador ao fazer solicitações maliciosas ao módulo websocket do Node.js.
A Fortinet afirma que os atacantes que exploram o zero-day em campo estão criando usuários admin ou locais gerados aleatoriamente em dispositivos comprometidos e adicionando-os a grupos de usuários de VPN SSL existentes ou a novos que também adicionam.
Também foi observado que eles estão adicionando ou alterando políticas de firewall e outras configurações e fazendo login no SSLVPN usando contas falsas previamente criadas "para conseguir um túnel para a rede interna".
Embora a empresa não tenha fornecido informações adicionais sobre a campanha, a empresa de cibersegurança Arctic Wolf publicou um relatório na sexta-feira com indicadores de comprometimento (IOCs) correspondentes, que diz que os firewalls Fortinet FortiGate com interfaces de gerenciamento expostas à internet foram atacados desde meados de novembro.
"A campanha envolveu logins administrativos não autorizados nas interfaces de gerenciamento de firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras mudanças de configuração", disse a Arctic Wolf Labs.
Embora o vetor de acesso inicial não seja definitivamente confirmado, uma vulnerabilidade zero-day é altamente provável.
Organizações devem urgentemente desativar o acesso de gerenciamento do firewall em interfaces públicas o mais rápido possível.
A Fortinet também aconselhou os administradores no comunicado de hoje a desativar a interface administrativa HTTP/HTTPS ou limitar quais endereços IP podem alcançar a interface administrativa por meio de políticas locais como uma solução alternativa.
A Arctic Wolf também forneceu uma linha do tempo para essa campanha de exploração em massa da
CVE-2024-55591
, que inclui quatro fases:
- Varredura de vulnerabilidade (de 16 de novembro de 2024 a 23 de novembro de 2024)
- Reconhecimento (de 22 de novembro de 2024 a 27 de novembro de 2024)
- Configuração do SSL VPN (de 4 de dezembro de 2024 a 7 de dezembro de 2024)
- Movimento Lateral (de 16 de dezembro de 2024 a 27 de dezembro de 2024)
"Embora o vetor de acesso inicial usado nesta campanha ainda não esteja confirmado, a Arctic Wolf Labs avalia com alta confiança que a exploração em massa de uma vulnerabilidade zero-day é provável dado o cronograma comprimido entre as organizações afetadas, bem como as versões de firmware afetadas", adicionou a empresa de cibersegurança.
Dadas as sutis diferenças de técnicas e infraestrutura entre as intrusões, é possível que múltiplos indivíduos ou grupos possam ter estado envolvidos nesta campanha, mas o uso de jsconsole foi um ponto comum.
A Fortinet e a Arctic Wolf compartilharam IOCs quase idênticos, afirmando que você pode examinar os logs para as seguintes entradas para determinar se os dispositivos foram alvo.
Após o login por meio da vulnerabilidade, os logs mostrarão um IP de origem e um IP de destino aleatórios:
Depois que os atacantes criarem um usuário admin, um log será gerado com o que parece ser um nome de usuário e endereço IP de origem gerados aleatoriamente:
As empresas de segurança também alertaram que os atacantes comumente usaram os seguintes endereços IP nos ataques:
A Arctic Wolf diz que notificou a Fortinet sobre os ataques em 12 de dezembro de 2024 e recebeu confirmação do FortiGuard Labs PSIRT em 17 de dezembro de 2024 de que essa atividade era conhecida e já estava sendo investigada.
Hoje, a Fortinet também lançou patches de segurança para uma vulnerabilidade crítica de chave criptográfica codificada (
CVE-2023-37936
).
Essa vulnerabilidade permite que atacantes remotos e não autenticados com a chave executem código não autorizado por meio de solicitações criptográficas elaboradas.
Em dezembro, a Volexity relatou que hackers chineses usaram um kit de ferramentas pós-exploração personalizado chamado 'DeepData' para explorar uma vulnerabilidade zero-day (sem ID CVE) no cliente VPN Windows da Fortinet’s FortiClient para roubar credenciais.
Dois meses antes, a Mandiant revelou que uma falha no Fortinet FortiManager apelidada de "FortiJump" (identificada como
CVE-2024-47575
) havia sido explorada como um zero-day para violar mais de 50 servidores desde junho.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...