top of page

Vulnerabilidade Zero-Day permite ataques a Firewalls Fortinet com Interfaces de Gerenciamento Expostas a Internet

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 14 de jan.
  • 3 min de leitura

Pesquisadores de ameaças estão alertando sobre uma nova campanha que tem como alvo dispositivos de firewall Fortinet FortiGate com interfaces de gerenciamento expostas na internet pública.


“A campanha envolveu logins administrativos não autorizados nas interfaces de gerenciamento dos firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e diversas outras alterações de configuração”, informou a empresa de cibersegurança Arctic Wolf em uma análise publicada na semana passada.


As atividades maliciosas começaram em meados de novembro de 2024. Atores desconhecidos obtiveram acesso não autorizado às interfaces de gerenciamento de firewalls afetados para alterar configurações e extrair credenciais utilizando a técnica DCSync.


Embora o vetor inicial de acesso ainda não seja conhecido, foi avaliado com "alta confiança" que a exploração de uma vulnerabilidade zero-day é a provável causa, considerando a rapidez com que a campanha impactou várias organizações e as versões de firmware afetadas.


Os dispositivos comprometidos estavam com versões de firmware entre 7.0.14 e 7.0.16, lançadas entre fevereiro e outubro de 2024. A campanha seguiu quatro fases distintas de ataque, que começaram por volta de 16 de novembro de 2024, progredindo de varreduras de vulnerabilidades e reconhecimento até alterações de configuração e movimento lateral.



“Essas atividades se destacam por utilizarem amplamente a interface jsconsole a partir de poucos endereços IP incomuns”, disseram os pesquisadores da Arctic Wolf. A análise sugere que múltiplos indivíduos ou grupos podem estar envolvidos, já que algumas variações nas táticas foram observadas, mas o uso da jsconsole foi um ponto em comum.


Os invasores acessaram interfaces de gerenciamento para realizar mudanças, como alterar a configuração de saída de "padrão" para "mais" durante as fases iniciais de reconhecimento. Em dezembro de 2024, eles começaram a criar novas contas de superadministrador. Essas contas foram usadas para configurar até seis novos usuários locais por dispositivo e adicioná-los a grupos com acesso SSL VPN. Em outros casos, contas existentes foram sequestradas e adicionadas a grupos com acesso VPN.


“Os invasores também criaram novos portais SSL VPN e adicionaram contas diretamente a esses portais”, destacou a Arctic Wolf. Após essas alterações, túneis SSL VPN foram estabelecidos, com os endereços IP de origem dos túneis provenientes de poucos provedores de hospedagem VPS.


O ataque culminou com o uso do acesso SSL VPN para extrair credenciais e realizar movimento lateral usando a técnica DCSync. No entanto, os invasores foram eliminados dos ambientes comprometidos antes que avançassem para estágios finais, e seus objetivos finais permanecem desconhecidos.


Para mitigar riscos, as organizações devem evitar expor interfaces de gerenciamento de firewalls à internet e limitar o acesso a usuários confiáveis.


“A campanha não se limitou a setores específicos ou tamanhos de organização”, disse a Arctic Wolf. “A diversidade de perfis das vítimas, combinada com eventos automatizados de login/logout, sugere que os ataques foram oportunistas, e não meticulosamente planejados.”


Fortinet Confirma Nova Vulnerabilidade Zero-Day

A Fortinet divulgou detalhes de uma nova vulnerabilidade crítica de bypass de autenticação no FortiOS e FortiProxy (CVE-2024-55591, pontuação CVSS: 9.6), que tem sido explorada para comprometer firewalls e invadir redes corporativas.


“A vulnerabilidade [CWE-288] permite que um invasor remoto obtenha privilégios de superadministrador por meio de solicitações manipuladas no módulo websocket do Node.js”, informou a Fortinet em um comunicado em 14 de janeiro de 2025.


Versões Impactadas:

  • FortiOS 7.0.0 a 7.0.16 (Atualizar para 7.0.17 ou superior)

  • FortiProxy 7.0.0 a 7.0.19 (Atualizar para 7.0.20 ou superior)

  • FortiProxy 7.2.0 a 7.2.12 (Atualizar para 7.2.13 ou superior)


A vulnerabilidade foi explorada por invasores para criar contas de administrador e usuários locais, configurar novos grupos ou adicionar usuários a grupos de SSL VPN existentes, além de realizar mudanças nas políticas do firewall, corroborando os achados da Arctic Wolf.


Via - THN

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page