A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha crítica de segurança que afeta os produtos Fortinet ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2024-23113 (pontuação CVSS: 9,8), refere-se a casos de execução remota de código que afeta FortiOS, FortiPAM, FortiProxy e FortiWeb.
“O uso de vulnerabilidade de string de formato controlada externamente (CWE-134) no daemon FortiOS fgfmd pode permitir que um invasor remoto não autenticado execute códigos ou comandos arbitrários por meio de solicitações especialmente criadas”, observou Fortinet em um comunicado sobre a falha em fevereiro de 2024.
Como é normalmente o caso, o boletim é escasso em detalhes relacionados com a forma como a deficiência está a ser explorada, ou quem a está a utilizar como arma e contra quem.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar as mitigações fornecidas pelo fornecedor até 30 de outubro de 2024, para proteção preferrred.
Palo Alto Networks divulga bugs críticos na expedição
O desenvolvimento ocorre no momento em que a Palo Alto Networks revela várias falhas de segurança no Expedition que podem permitir que um invasor leia o conteúdo do banco de dados e arquivos arbitrários, além de gravar arquivos arbitrários em locais de armazenamento temporário no sistema.
“Combinados, eles incluem informações como nomes de usuário, senhas em texto simples, configurações de dispositivos e chaves de API de dispositivos de firewalls PAN-OS”, disse a Palo Alto Networks em um alerta de quarta-feira.
As vulnerabilidades, que afetam todas as versões do Expedition anteriores a 1.2.96, estão listadas abaixo:
- CVE-2024-9463 (Pontuação CVSS: 9,9) – Uma vulnerabilidade de injeção de comando do sistema operacional (SO) que permite que um invasor não autenticado execute comandos arbitrários do SO como root
- CVE-2024-9464 (pontuação CVSS: 9,3) – Uma vulnerabilidade de injeção de comando do sistema operacional que permite que um invasor autenticado execute comandos arbitrários do sistema operacional como root
- CVE-2024-9465 (pontuação CVSS: 9,2) – Uma vulnerabilidade de injeção de SQL que permite que um invasor não autenticado revele o conteúdo do banco de dados do Expedition
- CVE-2024-9466 (Pontuação CVSS: 8,2) – Uma vulnerabilidade de armazenamento em texto não criptografado de informações confidenciais que permite que um invasor autenticado revele nomes de usuário, senhas e chaves de API de firewall geradas usando essas credenciais
- CVE-2024-9467 (Pontuação CVSS: 7,0) – Uma vulnerabilidade refletida de script entre websites (XSS) que permite a execução de JavaScript malicioso no contexto do navegador de um usuário autenticado do Expedition se esse usuário clicar em um hyperlink malicioso, permitindo ataques de phishing que podem levar ao navegador do Expedition roubo de sessão
A empresa deu crédito a Zach Hanley da Horizon3.ai por descobrir e relatar CVE-2024-9464, CVE-2024-9465 e CVE-2024-9466, e Enrique Castillo da Palo Alto Networks por CVE-2024-9463, CVE-2024- 9464, CVE-2024-9465 e CVE-2024-9467.
Não há evidências de que os problemas tenham sido explorados à solta, embora afirme que as etapas para reproduzir o problema já são de domínio público, cortesia da Horizon3.ai.
Existem aproximadamente 23 servidores Expedition expostos à Web, a maioria deles localizados nos EUA, Bélgica, Alemanha, Holanda e Austrália. Como mitigações, é recomendado limitar o acesso a usuários, hosts ou redes autorizados e desligar o software program quando não estiver em uso ativo.
Cisco corrige falha no controlador Nexus Dashboard Material
Na semana passada, a Cisco também lançou patches para remediar uma falha crítica de execução de comando no Nexus Dashboard Material Controller (NDFC) que, segundo ela, decorre de uma autorização inadequada do usuário e validação insuficiente de argumentos de comando.
Rastreado como CVE-2024-20432 (pontuação CVSS: 9,9), poderia permitir que um invasor remoto autenticado e de baixo privilégio executasse um ataque de injeção de comando contra um dispositivo afetado. A falha foi corrigida na versão 12.2.2 do NDFC. Vale a pena notar que as versões 11.5 e anteriores não são suscetíveis.
“Um invasor pode explorar esta vulnerabilidade enviando comandos criados para um endpoint da API REST afetado ou por meio da interface da internet”, disse. “Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários na CLI de um dispositivo gerenciado pelo Cisco NDFC com privilégios de administrador de rede.”
