A Fortinet divulgou uma novidade nequice sátira de segurança no FortiOS SSL VPN que, segundo ela, provavelmente está sendo explorada em estado selvagem.
A vulnerabilidade, CVE-2024-21762 (pontuação CVSS: 9,6), permite a realização de códigos e comandos arbitrários.
“Uma vulnerabilidade de gravação fora dos limites (CWE-787) no FortiOS pode permitir que um invasor remoto não autenticado execute código ou comando facultativo por meio de solicitações HTTP mormente criadas”, disse a empresa em um boletim divulgado quinta-feira.
Reconheceu ainda que a questão está “potencialmente a ser explorada em estado selvagem”, sem fornecer detalhes adicionais sobre uma vez que está a ser transformada em arma e por quem.
As seguintes versões são afetadas pela vulnerabilidade. É importante notar que o FortiOS 7.6 não foi afetado.
- FortiOS 7.4 (versões 7.4.0 a 7.4.2) – Atualize para 7.4.3 ou superior
- FortiOS 7.2 (versões 7.2.0 a 7.2.6) – Atualize para 7.2.7 ou superior
- FortiOS 7.0 (versões 7.0.0 a 7.0.13) – Atualize para 7.0.14 ou superior
- FortiOS 6.4 (versões 6.4.0 a 6.4.14) – Atualize para 6.4.15 ou superior
- FortiOS 6.2 (versões 6.2.0 a 6.2.15) – Atualize para 6.2.16 ou superior
- FortiOS 6.0 (versões 6.0 todas as versões) – Transmigrar para uma versão fixa
O desenvolvimento ocorre quando a Fortinet emitiu patches para CVE-2024-23108 e CVE-2024-23109, impactando o supervisor FortiSIEM, permitindo que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas.
No início desta semana, o governo holandês revelou que uma rede de computadores usada pelas forças armadas foi infiltrada por atores patrocinados pelo Estado chinês, explorando falhas conhecidas nos dispositivos Fortinet FortiGate para fornecer um backdoor chamado COATHANGER.
A empresa, em relatório publicado esta semana, divulgou que vulnerabilidades de segurança de N dias em seu software, uma vez que CVE-2022-42475 e CVE-2023-27997, estão sendo exploradas por múltiplos clusters de atividades para atingir governos, provedores de serviços, consultorias , manufatura e grandes organizações de infraestrutura sátira.
Anteriormente, os agentes de ameaças chineses foram associados à exploração de dia zero de falhas de segurança em dispositivos Fortinet para fornecer uma ampla gama de implantes, uma vez que BOLDMOVE, THINCRUST e CASTLETAP.
Também segue um expedido do governo dos EUA sobre um grupo estatal chinês denominado de Volt Typhoon, que tem uma vez que cândido a infraestrutura sátira do país para persistência não invenção a longo prazo, aproveitando falhas conhecidas e de dia zero em dispositivos de rede, uma vez que aqueles da Fortinet, Ivanti Connect Secure, NETGEAR, Citrix e Cisco para chegada inicial.
A China, que negou as acusações, acusou os EUA de conduzirem os seus próprios ataques cibernéticos.
Na verdade, as campanhas levadas a cabo pela China e pela Rússia sublinham a crescente prenúncio enfrentada pelos dispositivos periféricos voltados para a Internet nos últimos anos, devido ao facto de tais tecnologias carecerem de suporte de detecção e resposta de endpoint (EDR), tornando-as propícias ao injúria.
“Esses ataques demonstram o uso de vulnerabilidades de N dias já resolvidas e técnicas subsequentes (de vida fora da terreno), que são altamente indicativas do comportamento empregado pelo ator cibernético ou grupo de atores divulgado uma vez que Volt Typhoon, que tem sido usando esses métodos para atingir infraestruturas críticas e potencialmente outros atores adjacentes”, disse Fortinet.
