Falha Fortinet

CISA revelou que falha crítica RCE do FortiOS está sendo explorada em ataques

Imagem com a logomarca do Fortinet

A CISA revelou que invasores estão explorando ativamente uma falha crítica de execução remota de código (RCE) do FortiOS. A falha (CVE-2024-23113) é causada pelo daemon fgfmd que aceita uma string de formato controlada externamente como argumento.

Falha crítica do FortiOS

A falha do FortiOS, quando explorada, pode permitir que agentes de ameaças não autenticados executem comandos ou código arbitrário em dispositivos não corrigidos em ataques de baixa complexidade que não exigem interação do usuário.

De acordo com a Fortinet, o daemon fgfmd vulnerável é executado no FortiGate e no FortiManager, manipulando todas as solicitações de autenticação e gerenciando mensagens de manutenção de atividade entre eles (bem como todas as ações resultantes, como instruir outros processos a atualizar arquivos ou bancos de dados). A CVE-2024-23113 afeta o FortiOS 7.0 e posteriores, FortiPAM 1.0 e superiores, FortiProxy 7.0 e superiores e FortiWeb 7.4.

A empresa divulgou e corrigiu essa falha de segurança em fevereiro, quando aconselhou os administradores a remover o acesso ao damon fgfmd para todas as interfaces como uma medida de mitigação projetada para bloquear ataques potenciais.

Note que isso impedirá a descoberta do FortiGate pelo FortiManager. A conexão ainda será possível pelo FortiGate.

Observe também que uma política local-in que permite apenas conexões FGFM de um IP específico reduzirá a superfície de ataque, mas não impedirá que a vulnerabilidade seja explorada a partir desse IP. Como consequência, isso deve ser usado como uma mitigação e não como uma solução alternativa completa.

Fortinet

Imagem com a logomarca do Fortinet

Agências federais ordenadas a corrigir em três semanas

Embora a Fortinet ainda não tenha atualizado seu aviso de fevereiro para confirmar a exploração do CVE-2024-23113, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas na quarta-feira. As agências federais dos EUA agora também são obrigadas a proteger os dispositivos FortiOS em suas redes contra esses ataques em andamento dentro de três semanas, até 30 de outubro, conforme exigido pela diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.

“Esses tipos de vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos mal-intencionados e representam riscos significativos para as empresas federais”, alertou a agência de segurança cibernética.

O Bleeping Computer lembra que o Serviço de Inteligência e Segurança Militar Holandês (MIVD) alertou em junho que hackers chineses exploraram outra vulnerabilidade crítica do FortiOS RCE (CVE-2022-42475) entre 2022 e 2023 para violar e infectar pelo menos 20 mil dispositivos de segurança de rede Fortigate com malware.

Via: Bleeping Computer