internet-4521076_1280.jpg

Fortinet alerta sobre falha RCE que vem sendo explorada

Da Redação
13/12/2022

Uma falha de segurança rastreada como CVE-2022-42475 e classificada como bug de estouro de buffer baseado em heap no FortiOS, sistema operacional da Fortinet, pode permitir que usuários não autenticados travem dispositivos remotamente e potencialmente realizem a execução de código ou comandos arbitrários por meio de solicitações especificamente criadas, conforme alerta a própria empresa, feito em um comunicado de segurança divulgado nesta terça-feira, 13.

Conforme relatado pelo site LeMagIT, a empresa francesa de segurança cibernética Olympe Cyberdefense divulgou pela primeira vez a vulnerabilidade de dia zero, alertando os usuários para monitorar seus logs em busca de atividades suspeitas até que um patch fosse lançado.

A Fortinet corrigiu o bug no FortiOS 7.2.3 — e outras versões lançadas anteriormente — em 28 de novembro sem divulgar nenhuma informação sobre a falha de dia zero. Mas o site BleepingComputer descobriu que a empresa emitiu um comunicado privado aos clientes no dia 7 deste mês com mais informações sobre o bug.

Nesta terça-feira, a Fortinet lançou o comunicado de segurança FG-IR-22-398, alertando publicamente que a vulnerabilidade foi explorada ativamente em ataques e que todos os usuários devem atualizar para as seguintes versões para corrigir o bug: FortiOS versão 7.2.3 ou superior; FortiOS versão 7.0.9 ou superior; FortiOS versão 6.4.11 ou superior; FortiOS versão 6.2.12 ou superior; FortiOS-6K7K versão 7.0.8 ou superior; FortiOS-6K7K versão 6.4.10 ou superior; FortiOS-6K7K versão 6.2.12 ou superior; e FortiOS-6K7K versão 6.0.15 ou superior.

Veja isso
Fortinet relança serviço gratuito de avaliação de segurança em OT
Fortinet corrige 11 bugs críticos em suas soluções de segurança

Embora não tenha fornecido nenhuma informação sobre como a falha está sendo explorada, a Fortinet compartilhou IOCs (indicadores de comprometimento) relacionados a ataques. Conforme compartilhado anteriormente pela Olympe Cyberdefense e agora pela Fortinet, quando a vulnerabilidade e explorada, ela gera as seguintes entradas nos logs: Logdesc=”Aplicativo travou” e msg=”[…] application:sslvpnd,[…], Sinal 11 recebido, Backtrace: […]“

A Fortinet também compartilhou uma lista de endereços IP vistos explorando a vulnerabilidade: 188.34.130.40:444; 103.131.189.143:30080,30081,30443,20443; 192.36.119.61:8443,444; e 172.247.168.153:8033. Destes endereços IP, a empresa de inteligência em ameaças Gray Noise detectou o endereço 103.131.189.143 realizando varreduras de rede em outubro.

Caso não consiga aplicar os patches imediatamente, a Olympe Cyberdefense sugere que os clientes monitorem os logs, desativem a funcionalidade VPN-SSL e criem regras de acesso para limitar as conexões de endereços IP específicos.

Compartilhar: