A Fortinet emitiu um alerta sobre uma vulnerabilidade crítica na API do FortiManager, identificada como CVE-2024-47575, que já está sendo explorada em ataques de dia zero. A falha permite que invasores acessem arquivos confidenciais, incluindo configurações, endereços IP e credenciais de dispositivos gerenciados.
Falha crítica no FortiManager é explorada em ataques de dia zero
Clientes foram notificados de maneira privada sobre a vulnerabilidade em 13 de outubro de 2024, enquanto a empresa trabalhava em uma solução. Entretanto, detalhes começaram a vazar online através de discussões no Reddit e publicações de Kevin Beaumont, pesquisador de segurança cibernética, que apelidou a falha de “FortiJump”.
Os administradores de dispositivos Fortinet relataram que a falha já estava sendo explorada antes do aviso oficial. Um cliente afirmou ter sido atacado semanas antes da notificação privada. No dia 23 de outubro, a Fortinet divulgou a vulnerabilidade oficialmente, classificada com uma severidade de 9,8 de 10, o que a torna uma ameaça crítica.
Detalhes da vulnerabilidade
O problema envolve a falta de autenticação em uma função crítica no daemon fgfmd do FortiManager. Um invasor remoto não autenticado pode executar códigos arbitrários por meio de solicitações modificadas, explorando a vulnerabilidade na API. Para iniciar o ataque, os invasores precisam de um certificado válido de um dispositivo Fortinet comprometido.
Versões do FortiManager afetadas incluem:
Notícias Relacionadas
Vulnerabilidade crítica
Samsung enfrenta exploração de vulnerabilidade crítica em dispositivos Android
Pesquisadores do Google alertam sobre uma vulnerabilidade de dia zero da Samsung, que permite escalada de privilégios em dispositivos Android. A falha, CVE-2024-44068, foi corrigida em outubro de 2024, mas está sendo explorada ativamente.
Falha crítica
Falha crítica de segurança no vCenter Server exige nova correção da VMware
A VMware não conseguiu resolver completamente a falha de execução remota de código no vCenter Server (CVE-2024-38812) em setembro, exigindo novos patches em outubro.
- FortiManager 7.6: afeta a versão 7.6.0 (corrigido na 7.6.1)
- FortiManager 7.4: afeta as versões de 7.4.0 a 7.4.4 (corrigido na 7.4.5)
- FortiManager 7.2: afeta de 7.2.0 a 7.2.7 (corrigido na 7.2.8)
Apesar de apenas as versões 7.2.8 e 7.4.5 estarem disponíveis, outras atualizações serão lançadas em breve. Para empresas que ainda não podem atualizar, a Fortinet recomenda medidas de mitigação, como a criação de listas de IPs confiáveis e o uso de certificados personalizados para autenticar dispositivos FortiGate.
Roubo de dados e invasões
Os ataques relatados foram usados para roubar arquivos que continham informações sobre dispositivos FortiGate, como IPs e credenciais, potencialmente fornecendo aos invasores acesso inicial a redes corporativas. Até o momento, não há evidências de malware instalado nos servidores FortiManager comprometidos, nem alterações nas configurações dos dispositivos FortiGate gerenciados.
A Fortinet não divulgou informações sobre o número de clientes afetados, mantendo as investigações em andamento. A empresa também disponibilizou IOCs (Indicadores de Comprometimento) para ajudar na identificação de possíveis violações em servidores FortiManager.
