A CISA revelou que invasores estão explorando ativamente uma falha crítica de execução remota de código (RCE) do FortiOS. A falha (CVE-2024-23113) é causada pelo daemon fgfmd que aceita uma string de formato controlada externamente como argumento.
Falha crítica do FortiOS
A falha do FortiOS, quando explorada, pode permitir que agentes de ameaças não autenticados executem comandos ou código arbitrário em dispositivos não corrigidos em ataques de baixa complexidade que não exigem interação do usuário.
De acordo com a Fortinet, o daemon fgfmd vulnerável é executado no FortiGate e no FortiManager, manipulando todas as solicitações de autenticação e gerenciando mensagens de manutenção de atividade entre eles (bem como todas as ações resultantes, como instruir outros processos a atualizar arquivos ou bancos de dados). A CVE-2024-23113 afeta o FortiOS 7.0 e posteriores, FortiPAM 1.0 e superiores, FortiProxy 7.0 e superiores e FortiWeb 7.4.
A empresa divulgou e corrigiu essa falha de segurança em fevereiro, quando aconselhou os administradores a remover o acesso ao damon fgfmd para todas as interfaces como uma medida de mitigação projetada para bloquear ataques potenciais.
Note que isso impedirá a descoberta do FortiGate pelo FortiManager. A conexão ainda será possível pelo FortiGate.
Notícias Relacionadas
Qualcomm
Qualcomm confirma ataque cibernético a dispositivos Android com seus chips
A Qualcomm se pronunciou sobre uma vulnerabilidade de zero dia encontrada em seus chips que foi recentemente explorada para atingir usuários do Android. A empresa confirmou a falha e a exploração dela. Falha em chips Qualcomm levam a ataques em dispositivos Android A vulnerabilidade encontrada afeta uma ampla gama de chipsets encontrados em telefones Android, […]
Segurança
Scanner ajuda a identificar servidores Linux e UNIX expostos a ataques CUPS RCE
Profissionais de segurança agora contam com um scanner automatizado, lançador para ajudar a escanear ambientes em busca de dispositivos vulneráveis à falha RCE do Common Unix Printing System (CUPS), rastreada como CVE-2024-47176. Sim, os servidores Linux e UNIX continuam expostos a ataques CUPS RCE e esse scanner pode ajudar muito. Servidores Linux e os ataques […]
Observe também que uma política local-in que permite apenas conexões FGFM de um IP específico reduzirá a superfície de ataque, mas não impedirá que a vulnerabilidade seja explorada a partir desse IP. Como consequência, isso deve ser usado como uma mitigação e não como uma solução alternativa completa.
Fortinet
Agências federais ordenadas a corrigir em três semanas
Embora a Fortinet ainda não tenha atualizado seu aviso de fevereiro para confirmar a exploração do CVE-2024-23113, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas na quarta-feira. As agências federais dos EUA agora também são obrigadas a proteger os dispositivos FortiOS em suas redes contra esses ataques em andamento dentro de três semanas, até 30 de outubro, conforme exigido pela diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos mal-intencionados e representam riscos significativos para as empresas federais”, alertou a agência de segurança cibernética.
O Bleeping Computer lembra que o Serviço de Inteligência e Segurança Militar Holandês (MIVD) alertou em junho que hackers chineses exploraram outra vulnerabilidade crítica do FortiOS RCE (CVE-2022-42475) entre 2022 e 2023 para violar e infectar pelo menos 20 mil dispositivos de segurança de rede Fortigate com malware.
Via: Bleeping Computer
