A Fortinet emitiu um alerta sobre uma vulnerabilidade crítica na API do FortiManager, identificada como CVE-2024-47575, que já está sendo explorada em ataques de dia zero. A falha permite que invasores acessem arquivos confidenciais, incluindo configurações, endereços IP e credenciais de dispositivos gerenciados.
Falha crítica no FortiManager é explorada em ataques de dia zero
Clientes foram notificados de maneira privada sobre a vulnerabilidade em 13 de outubro de 2024, enquanto a empresa trabalhava em uma solução. Entretanto, detalhes começaram a vazar online através de discussões no Reddit e publicações de Kevin Beaumont, pesquisador de segurança cibernética, que apelidou a falha de “FortiJump”.
Os administradores de dispositivos Fortinet relataram que a falha já estava sendo explorada antes do aviso oficial. Um cliente afirmou ter sido atacado semanas antes da notificação privada. No dia 23 de outubro, a Fortinet divulgou a vulnerabilidade oficialmente, classificada com uma severidade de 9,8 de 10, o que a torna uma ameaça crítica.
Detalhes da vulnerabilidade
O problema envolve a falta de autenticação em uma função crítica no daemon fgfmd do FortiManager. Um invasor remoto não autenticado pode executar códigos arbitrários por meio de solicitações modificadas, explorando a vulnerabilidade na API. Para iniciar o ataque, os invasores precisam de um certificado válido de um dispositivo Fortinet comprometido.
Versões do FortiManager afetadas incluem:
Notícias Relacionadas
Segurança cibernética
Violação de dados na Ford: o papel do fornecedor terceirizado
Uma violação de dados na Ford expôs 44 mil registros, mas a empresa confirmou que seus sistemas e dados de clientes permanecem seguros.
Ataque cibernético
Hackers chineses exploram falha zero-day do Fortinet VPN para roubo de credenciais
Hackers chineses exploram vulnerabilidade zero-day no FortiClient VPN para roubar credenciais, com o uso de ferramentas avançadas como DeepData.
- FortiManager 7.6: afeta a versão 7.6.0 (corrigido na 7.6.1)
- FortiManager 7.4: afeta as versões de 7.4.0 a 7.4.4 (corrigido na 7.4.5)
- FortiManager 7.2: afeta de 7.2.0 a 7.2.7 (corrigido na 7.2.8)
Apesar de apenas as versões 7.2.8 e 7.4.5 estarem disponíveis, outras atualizações serão lançadas em breve. Para empresas que ainda não podem atualizar, a Fortinet recomenda medidas de mitigação, como a criação de listas de IPs confiáveis e o uso de certificados personalizados para autenticar dispositivos FortiGate.
Roubo de dados e invasões
Os ataques relatados foram usados para roubar arquivos que continham informações sobre dispositivos FortiGate, como IPs e credenciais, potencialmente fornecendo aos invasores acesso inicial a redes corporativas. Até o momento, não há evidências de malware instalado nos servidores FortiManager comprometidos, nem alterações nas configurações dos dispositivos FortiGate gerenciados.
A Fortinet não divulgou informações sobre o número de clientes afetados, mantendo as investigações em andamento. A empresa também disponibilizou IOCs (Indicadores de Comprometimento) para ajudar na identificação de possíveis violações em servidores FortiManager.
