0
0
Empresa recomenda aos clientes que corrijam seus dispositivos contra uma vulnerabilidade no FortiOS que vem sendo explorada ativamente e pode permitir a execução remota de código não autenticado em dispositivos
Uma falha de segurança rastreada como CVE-2022-42475 e classificada como bug de estouro de buffer baseado em heap no FortiOS, sistema operacional da Fortinet, pode permitir que usuários não autenticados travem dispositivos remotamente e potencialmente realizem a execução de código ou comandos arbitrários por meio de solicitações especificamente criadas, conforme alerta a própria empresa, feito em um comunicado de segurança divulgado nesta terça-feira, 13.
Conforme relatado pelo site LeMagIT, a empresa francesa de segurança cibernética Olympe Cyberdefense divulgou pela primeira vez a vulnerabilidade de dia zero, alertando os usuários para monitorar seus logs em busca de atividades suspeitas até que um patch fosse lançado.
A Fortinet corrigiu o bug no FortiOS 7.2.3 — e outras versões lançadas anteriormente — em 28 de novembro sem divulgar nenhuma informação sobre a falha de dia zero. Mas o site BleepingComputer descobriu que a empresa emitiu um comunicado privado aos clientes no dia 7 deste mês com mais informações sobre o bug.
Nesta terça-feira, a Fortinet lançou o comunicado de segurança FG-IR-22-398, alertando publicamente que a vulnerabilidade foi explorada ativamente em ataques e que todos os usuários devem atualizar para as seguintes versões para corrigir o bug: FortiOS versão 7.2.3 ou superior; FortiOS versão 7.0.9 ou superior; FortiOS versão 6.4.11 ou superior; FortiOS versão 6.2.12 ou superior; FortiOS-6K7K versão 7.0.8 ou superior; FortiOS-6K7K versão 6.4.10 ou superior; FortiOS-6K7K versão 6.2.12 ou superior; e FortiOS-6K7K versão 6.0.15 ou superior.
Embora não tenha fornecido nenhuma informação sobre como a falha está sendo explorada, a Fortinet compartilhou IOCs (indicadores de comprometimento) relacionados a ataques. Conforme compartilhado anteriormente pela Olympe Cyberdefense e agora pela Fortinet, quando a vulnerabilidade e explorada, ela gera as seguintes entradas nos logs: Logdesc=”Aplicativo travou” e msg=”[…] application:sslvpnd,[…], Sinal 11 recebido, Backtrace: […]“
A Fortinet também compartilhou uma lista de endereços IP vistos explorando a vulnerabilidade: 188.34.130.40:444; 103.131.189.143:30080,30081,30443,20443; 192.36.119.61:8443,444; e 172.247.168.153:8033. Destes endereços IP, a empresa de inteligência em ameaças Gray Noise detectou o endereço 103.131.189.143 realizando varreduras de rede em outubro.
Caso não consiga aplicar os patches imediatamente, a Olympe Cyberdefense sugere que os clientes monitorem os logs, desativem a funcionalidade VPN-SSL e criem regras de acesso para limitar as conexões de endereços IP específicos.
FONTE: CISO ADVISOR