0
0
Uma vulnerabilidade RCE crítica (CVE-2022-42475) no sistema operacional da Fortinet, FortiOS, está sendo explorada por invasores, supostamente por um grupo de ransomware.
“A Fortinet está ciente de um caso em que essa vulnerabilidade foi explorada na natureza”, disse a empresa em um comunicado publicado na segunda-feira, mas não ofereceu detalhes específicos sobre o ataque.
Sobre CVE-2022-42475
CVE-2022-42475 é uma vulnerabilidade de estouro de buffer baseada em heap no FortiOS e “pode permitir que um invasor remoto não autenticado execute códigos ou comandos arbitrários por meio de solicitações especificamente criadas” e, em geral, obtenha controle total de dispositivos vulneráveis.
O FortiOS é baseado no kernel do Linux e alimenta muitos produtos da Fortinet, incluindo seus firewalls FortiGate. De acordo com a Olympe Cyberdefense , esta vulnerabilidade afeta especificamente a funcionalidade SSL VPN do sistema operacional.
A falha afeta:
- FortiOS versão 7.2.0 a 7.2.2, 7.0.0 a 7.0.8, 6.4.0 a 6.4.10 e 6.2.0 a 6.2.11
- FortiOS-6K7K versão 7.0.0 a 7.0.7, 6.4.0 a 6.4.9, 6.2.0 a 6.2.11 e 6.0.0 a 6.0.14
Correções e mitigações
As vulnerabilidades do FortiOS são frequentemente exploradas por invasores.
A Fortinet corrigiu o CVE-2022-42475 em:
- FortiOS versão 7.2.3 ou superior, 7.0.9 ou superior, 6.4.11 ou superior e 6.2.12 ou superior
- FortiOS-6K7K versão 7.0.8 ou superior, 6.4.10 ou superior, 6.2.12 ou superior e 6.0.15 ou superior.
Conforme observado pelo pesquisador de segurança Will Dormann, alguns deles foram lançados no mês passado, mas sem nenhuma menção a eles contendo uma correção para uma falha crítica de dia zero.
A Fortinet não forneceu nenhuma atenuação oficial para o problema, enquanto os pesquisadores da Olympe Cyberdefense dizem que desativar a funcionalidade VPN-SSL e configurar regras de acesso condicional pode limitar o risco de exploração das organizações.
Eles também compartilharam alguns indicadores de comprometimento – entradas de log e artefatos no sistema de arquivos – que os defensores podem procurar para verificar se seus dispositivos foram comprometidos. A Fortinet adicionou a esses alguns endereços IP suspeitos que podem ter entrado em contato com os dispositivos FortiGate.
O consultor freelance de TI Ewen McNeill afirmou que o FortiOS 6.0, que já passou da data de fim do suporte , também pode estar vulnerável e aconselhou os usuários a tomarem precauções.
ATUALIZAÇÃO (14 de dezembro de 2022, 05h20 ET):
A Fortinet atualizou o comunicado, confirmando que as versões FortiOS 6.0.xe 5.x também são vulneráveis. De acordo com McNeill, uma correção de segurança do FortiOS 6.0.x para essa falha pode estar em andamento.
A Fortinet também confirmou que desabilitar a funcionalidade SSL-VPN é uma solução possível.
FONTE: HELPNET SECURITY