Em janeiro de 2025, especialistas de segurança cibernética levantaram um alerta sobre uma nova campanha que pode estar explorando uma vulnerabilidade de dia zero nos firewalls Fortinet FortiGate, especialmente aqueles com interfaces de gerenciamento expostas à internet. De acordo com os pesquisadores da Arctic Wolf, a ameaça se tornou evidente após observações detalhadas de atividades suspeitas, sugerindo um ataque em curso.
Possível campanha de dia zero mira firewalls Fortinet FortiGate com interfaces de gerenciamento expostas
A campanha, que foi identificada como um possível ataque de dia zero, teve como alvo firewalls FortiGate com configurações de gerenciamento abertas para o acesso externo. Os atacantes conseguiram invadir os dispositivos, criar contas de acesso e modificar as configurações internas dos firewalls. Com isso, as organizações afetadas enfrentaram riscos significativos de comprometimento de seus sistemas de rede.
Os especialistas pedem uma ação imediata das empresas, recomendando que o acesso de gerenciamento aos firewalls seja desativado em interfaces públicas. “Esse tipo de vulnerabilidade é especialmente perigoso quando se tem acesso remoto a dispositivos tão críticos”, alerta a Arctic Wolf.
Fases do ataque
A campanha de ataque, que pode ter se iniciado em novembro de 2024, foi observada em quatro fases distintas, refletindo uma execução meticulosa e coordenada:
- Varredura de vulnerabilidades (16 a 23 de novembro de 2024): A primeira fase consistiu em uma varredura intensiva para detectar sistemas vulneráveis.
- Reconhecimento (22 a 27 de novembro): Durante este período, os atacantes realizaram reconhecimento para entender melhor os sistemas alvo.
- Configuração de VPN SSL (4 a 7 de dezembro): Nesta fase, foi observada a criação de novas contas de superadministrador e o sequestro de contas existentes para estabelecer conexões VPN SSL.
- Movimento lateral (16 a 27 de dezembro): Ao obter acesso, os atacantes tentaram mover-se lateralmente pela rede, utilizando credenciais roubadas.
Atividades maliciosas
Os pesquisadores notaram que o uso da interface “jsconsole” foi uma característica marcante deste ataque, destacando-se das atividades normais dos firewalls. Os invasores fizeram login de forma automatizada a partir de IPs incomuns, indicando um padrão de exploração oportunista, em vez de um alvo específico.
As versões de firmware afetadas variaram entre 7.0.14 e 7.0.16, que foram lançadas entre fevereiro e outubro de 2024. Entre novembro e dezembro, os investigadores observaram logins repetidos e automatizados através da interface de console, seguidos por alterações de configuração não autorizadas.
Impacto no ambiente corporativo
Na fase de movimentação lateral, os atacantes buscaram expandir seu controle, usando ferramentas como DCSync para sincronizar credenciais de administradores de domínio e facilitar a disseminação dentro da rede corporativa. No entanto, antes que pudessem avançar para ações mais destrutivas, foram detectados e removidos das redes comprometidas.
Recomendações de segurança
Especialistas sugerem que as organizações adotem medidas preventivas para proteger seus dispositivos FortiGate, como a desativação de interfaces de gerenciamento acessíveis ao público e a atualização regular dos firmwares para corrigir vulnerabilidades conhecidas.
A Fortinet já corrigiu falhas críticas em seus sistemas FortiOS e FortiProxy, como a CVE-2023-27997, que foi identificada em junho de 2023. No entanto, especialistas alertam que os invasores continuam a explorar brechas, exigindo vigilância constante.