top of page

Fortinet divulga segunda falha de autenticaĆ§Ć£o em firewall corrigida em janeiro

A Fortinet informou que a nova vulnerabilidade CVE-2025-24472, adicionada ao relatĆ³rio FG-IR-24-535 hoje, nĆ£o Ć© um zero-dayĀ e jĆ” havia sido corrigida em janeiro.


AlĆ©m disso, embora o comunicado atualizado mencione que ambas as falhas foram exploradas em ataques e inclua uma soluĆ§Ć£o alternativa para exploraĆ§Ć£o via solicitaƧƵes CSF proxy, a Fortinet esclareceu que apenas a CVE-2024-55591 foi efetivamente utilizada em ataques.


A empresa explicou que clientes que jĆ” haviam atualizado seus sistemas seguindo as diretrizes do boletim FG-IR-24-535/CVE-2024-55591 estĆ£o automaticamente protegidos contra essa nova vulnerabilidade divulgada.


O tƭtulo da matƩria foi atualizado para refletir essas informaƧƵes, e o artigo original segue abaixo.


A Fortinet alertou hoje que hackers estĆ£o explorando uma nova falha zero-dayĀ agora corrigida no FortiOS e no FortiProxy para comprometer firewalls Fortinet e invadir redes corporativas.


A exploraĆ§Ć£o bem-sucedida dessa vulnerabilidade de autenticaĆ§Ć£o (CVE-2025-24472) permite que hackers obtenham privilĆ©gios de superadministrador enviando solicitaƧƵes CSF proxy maliciosamente manipuladas.


O problema de seguranƧa afeta o FortiOS das versƵes 7.0.0 atƩ 7.0.16, o FortiProxy das versƵes 7.0.0 atƩ 7.0.19 e o FortiProxy 7.2.0 atƩ 7.2.12. A Fortinet corrigiu a falha nas versƵes FortiOS 7.0.17 ou superior e FortiProxy 7.0.20/7.2.13 ou superior.


A Fortinet adicionou essa falha ao comunicado de seguranƧa publicado no mĆŖs passado, que alertava os clientes sobre a exploraĆ§Ć£o da vulnerabilidade zero-dayĀ CVE-2024-55591 no FortiOS e no FortiProxy, afetando as mesmas versƵes de software. Essa falha, jĆ” corrigida, permitia ataques enviando requisiƧƵes maliciosas ao mĆ³dulo websocketĀ do Node.js.


De acordo com a Fortinet, hackers estĆ£o explorando essas vulnerabilidades para criar usuĆ”rios administrativos ou locais aleatĆ³rios em dispositivos comprometidos, adicionando-os a novos e antigos grupos de usuĆ”rios VPN SSL. Eles tambĆ©m foram observados modificando polĆ­ticas de firewall e outras configuraƧƵes, alĆ©m de acessarem instĆ¢ncias de VPN SSL com contas previamente estabelecidas para obter um tĆŗnel atĆ© a rede interna.


Embora a Fortinet nĆ£o tenha fornecido detalhes adicionais sobre a campanha de ataques, a empresa de ciberseguranƧa Arctic WolfĀ divulgou um relatĆ³rio identificando os mesmos indicadores de comprometimento (IOCs). Segundo a pesquisa, firewalls Fortinet FortiGate com interfaces de gerenciamento expostas Ć  Internet vĆŖm sendo alvo de ataques desde pelo menos meados de novembro.


"A campanha envolveu acessos administrativos nĆ£o autorizados Ć s interfaces de gerenciamento dos firewalls, criaĆ§Ć£o de novas contas, autenticaĆ§Ć£o VPN SSL por meio dessas contas e vĆ”rias outras mudanƧas de configuraĆ§Ć£o", explicou o Arctic Wolf Labs.


"Embora o vetor de acesso inicial nĆ£o esteja confirmado com certeza, uma vulnerabilidade zero-dayĀ Ć© altamente provĆ”vel. As organizaƧƵes devem desativar urgentemente o acesso de gerenciamento do firewall em interfaces pĆŗblicas o quanto antes."


A Arctic Wolf LabsĀ tambĆ©m apresentou um cronograma das exploraƧƵes em massa da CVE-2024-55591, dividindo o ataque em quatro fases distintas:

  1. Escaneamento de vulnerabilidades:Ā 16 a 23 de novembro de 2024

  2. Reconhecimento:Ā 22 a 27 de novembro de 2024

  3. ConfiguraĆ§Ć£o da VPN SSL:Ā 4 a 7 de dezembro de 2024

  4. MovimentaĆ§Ć£o lateral dentro da rede:Ā 16 a 27 de dezembro de 2024


"Devido a diferenƧas sutis nas tĆ©cnicas e na infraestrutura entre as invasƵes, Ć© possĆ­vel que mĆŗltiplos indivĆ­duos ou grupos hackers tenham participado dessa campanha, mas o uso do jsconsoleĀ foi um elemento comum em todos os casos", acrescentou.


A Arctic Wolf LabsĀ notificou a Fortinet sobre os ataques em 12 de dezembro e recebeu confirmaĆ§Ć£o do time de resposta a incidentes de seguranƧa da empresa (PSIRT) cinco dias depois, informando que a atividade jĆ” era conhecida e estava sob investigaĆ§Ć£o.


A Fortinet orientou os administradores que nĆ£o puderem aplicar as atualizaƧƵes de seguranƧa imediatamente a desativarem as interfaces administrativas HTTP/HTTPS ou a restringirem os endereƧos IP que podem acessĆ”-las por meio de polĆ­ticas locais (local-in policies) como uma soluĆ§Ć£o temporĆ”ria.


Via - BC

Ā 
Ā 
CĆ³pia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAƇƕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page