0
0
Os invasores podem ter explorado uma falha no Fortinet FortiS SSL-VPN em “um número limitado de casos” que afetou usuários nos setores de governo, manufatura e infraestrutura crítica.
A Fortinet emitiu uma correção para a vulnerabilidade, rastreada como CVE-2023-27997/FG-IR-23-097) e classificada como crítica, que está pedindo aos clientes que se inscrevam enquanto “monitoram a situação”, disse a empresa em um post no blog publicado esta semana.
A exploração da falha pode produzir “perda de dados e corrupção de SO e arquivos” para as vítimas, e é por isso que é imperativo que os clientes afetados atualizem os sistemas, de acordo com a Fortinet.
“Se o cliente tiver SSL-VPN habilitado, a Fortinet está aconselhando os clientes a tomar medidas imediatas para atualizar para a versão de firmware mais recente”, escreveu Carl Windsor, vice-presidente sênior de tecnologia de produto da Fortinet, no post.
A vulnerabilidade de estouro de buffer baseado em heap, pré-autenticação, afeta o FortiOS e o FortiProxy SSL-VPN e pode permitir que invasores não autenticados obtenham execução remota de código (RCE) por meio de solicitações criadas com códigos maliciosos, de acordo com a Fortinet. As versões de firmware 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5 do FortiOS — lançadas pelo fornecedor na sexta-feira — corrigem a vulnerabilidade.
A Fortinet encontrou a falha em uma auditoria de sua plataforma SSL-VPN após a exploração desenfreada de outra vulnerabilidade, CVE-2022-42475 – que após a descoberta era um bug de dia zero – em janeiro.
“Esta auditoria, juntamente com uma divulgação responsável de um pesquisador terceirizado, levou à identificação de certos problemas que foram remediados nas versões atuais do firmware”, escreveu Windsor.
Ligações potenciais para Volt Typhoon
Embora os invasores tenham usado uma vulnerabilidade Fortinet identificada anteriormente – FG-IR-22-377/CVE-2022-40684 – na campanha Volt Typhoon recentemente descoberta contra alvos críticos de infraestrutura dos EUA, a Fortinet até agora não está vinculando conclusivamente o CVE-2023-27997 a essa série de ataques, disse a empresa no post.
No entanto, a Fortinet alegou que isso não impede seu uso na campanha, se ela está sendo explorada atualmente ou se os invasores irão aproveitá-la no futuro.
“A Fortinet espera que todos os agentes de ameaças, incluindo aqueles por trás da campanha Volt Typhoon, continuem a explorar vulnerabilidades não corrigidas em softwares e dispositivos amplamente usados”, escreveu Windsor.
Descoberto pela Microsoft, o Volt Typhoon é uma série de ataques em que agentes de ameaças patrocinados pela China estabeleceram acesso persistente dentro de redes de telecomunicações e outros alvos de infraestrutura crítica nos EUA.
Os invasores do Volt Typhoon usaram CVE-2022-40684 — uma vulnerabilidade de desvio de autenticação encontrada no Fortinet, FortiOS e FortiProxy — para acesso inicial, confirmou a Fortinet. De fato, os dispositivos Fortinet voltados para a Internet são um alvo popular para vários agentes de ameaças como uma maneira de ganhar uma posição nas redes corporativas.
Especificamente, os pesquisadores da Fortinet descobriram contas de administrador chamadas “fortinet-tech-support” e “fortigate-tech-support” em dispositivos de clientes relacionados à campanha Volt Typhoon, disse a empresa.
“Nossa própria pesquisa, conduzida em colaboração com nossos clientes, identificou que a campanha Volt Typhoon usa uma variedade de táticas, técnicas e procedimentos (TTPs) para obter acesso a redes, incluindo uma técnica amplamente usada conhecida como ‘viver da terra’ para evitar a detecção”, escreveu Windsor.
Mitigações além da aplicação de patches
Embora a aplicação de atualizações de produtos seja a principal maneira de evitar comprometimento, a Fortinet fez outras sugestões para ajudar as organizações afetadas a resolver o problema. Uma delas é revisar os sistemas em busca de evidências de exploração de vulnerabilidades anteriores da Fortinet, como a explorada pelo Volt Typhoon, disse a empresa.
Minimizar a superfície de ataque desabilitando recursos não utilizados e gerenciando dispositivos por meio de um método fora de banda sempre que possível também pode ajudar as empresas a evitar serem alvo de ataques que exploram vulnerabilidades existentes, de acordo com a Fortinet.
FONTE: DARK READING