A CISA anunciou que hackers estão explorando ativamente uma vulnerabilidade crítica de execução remota de código (RCE) no FortiOS, identificada como CVE-2024-23113. Essa falha permite que invasores não autenticados executem comandos ou códigos arbitrários em dispositivos vulneráveis, sem a necessidade de interação do usuário, em ataques de baixa complexidade.
A vulnerabilidade é causada pelo daemon fgfmd, responsável por processar strings de formato controladas externamente. O fgfmd gerencia autenticações e a comunicação entre dispositivos FortiGate e FortiManager, além de executar ações como a atualização de arquivos e bancos de dados. A falha afeta o FortiOS 7.0 e versões posteriores, FortiPAM 1.0 ou superior, FortiProxy 7.0 ou superior, e FortiWeb 7.4.
A Fortinet corrigiu a falha em fevereiro, aconselhando administradores a restringir o acesso ao daemon fgfmd em todas as interfaces para mitigar potenciais ataques.
A empresa também recomendou a aplicação de políticas de entrada local para limitar as conexões FGFM a IPs específicos, ressaltando que essa medida reduz a superfície de ataque, mas não impede totalmente a exploração da vulnerabilidade.
Diretrizes para Agências Federais
A CISA incluiu a falha no Catálogo de Vulnerabilidades Exploradas Conhecidas e impôs um prazo para que agências federais dos EUA apliquem patches de segurança em dispositivos FortiOS até 30 de outubro, conforme a diretiva operacional vinculativa emitida em 2021. A agência destacou que esse tipo de vulnerabilidade é frequentemente explorado por hackers e representa um risco significativo para redes governamentais.
Histórico de Exploração
Em junho, o Serviço de Inteligência e Segurança Militar da Holanda (MIVD) alertou que hackers chineses já haviam explorado outra falha crítica no FortiOS (CVE-2022-42475) para infectar mais de 20.000 dispositivos Fortigate com malware entre 2022 e 2023, destacando o potencial de danos associados a vulnerabilidades desse tipo.
Via - BC
Comentários