Recentemente, foi identificada uma vulnerabilidade crítica de bypass de autenticação (CWE-288) que afeta as versões do FortiOS e do FortiProxy. Essa falha permite que invasores remotos obtenham privilégios de superadministrador por meio de solicitações elaboradas ao módulo websocket do Node.js. Além disso, relatos indicam que essa vulnerabilidade no FortiOS e FortiProxy está sendo ativamente explorada, o que eleva ainda mais o nível de urgência para sua correção.
Versões Afetadas pela Vulnerabilidade no FortiOS e FortiProxy
Confira abaixo as versões impactadas e os passos recomendados para correção:
- FortiOS 7.0 (7.0.0 a 7.0.16): Atualize para 7.0.17 ou superior.
- FortiProxy 7.2 (7.2.0 a 7.2.12): Atualize para 7.2.13 ou superior.
- FortiProxy 7.0 (7.0.0 a 7.0.19): Atualize para 7.0.20 ou superior.
- No entanto, outras versões, como FortiOS 7.6, 7.4, 6.4 e FortiProxy 7.6, 7.4, 2.0, não são afetadas.
Você pode consultar a ferramenta de atualização oficial para obter orientação detalhada: Fortinet Upgrade Tool. Por isso, é altamente recomendável verificar a versão em uso o quanto antes.
Indicadores de Comprometimento (IoCs) da Vulnerabilidade no FortiOS e FortiProxy
Além disso, é essencial ficar atento a logs que indiquem atividades suspeitas relacionadas à vulnerabilidade no FortiOS e FortiProxy, como:
- Login de administradores com IPs aleatórios.
type="event" subtype="system" level="information" logdesc="Login de administrador bem-sucedido" user="admin" srcip=1.1.1.1 action="login" status="success"
- Criação de contas de administrador com nomes gerados aleatoriamente.
type="event" subtype="system" logdesc="Object attribute configured" user="admin" action="Add" msg="Add system.admin vOcep"
- IPs frequentemente associados a ataques:
- 45.55.158.47
- 87.249.138.47
- 155.133.4.175
⚠ Atenção: Esses IPs são gerados arbitrariamente pelos invasores e não devem ser usados diretamente para bloqueio. Portanto, é fundamental complementar a análise com outras evidências técnicas.
Soluções Alternativas para a Vulnerabilidade no FortiOS e FortiProxy
Enquanto isso, caso a atualização imediata não seja possível, considere as seguintes medidas de mitigação para minimizar os riscos associados à vulnerabilidade no FortiOS e FortiProxy:
- Desative o acesso HTTP/HTTPS à interface administrativa.
- Restrinja o acesso à interface administrativa por IP:
- Crie grupos de endereços permitidos.
- Configure políticas locais para limitar o acesso com base nesses grupos.
Além disso, essas ações devem ser realizadas em conjunto com o monitoramento contínuo da rede.
Boas Práticas Adicionais
Adicionalmente, recomenda-se adotar boas práticas que aumentem a segurança da infraestrutura de forma geral:
- Utilize nomes de usuário de administrador não padrão e difíceis de adivinhar.
- Garanta que todos os usuários da GUI tenham configurações de trusthost ou políticas locais bem definidas.
Consequentemente, essas medidas reduzem significativamente a superfície de ataque.
Nossa Equipe Está Pronta para Ajudar!
Por fim, não espere que a vulnerabilidade se torne uma porta de entrada para ataques mais sérios. Estamos à disposição para auxiliá-lo com a atualização de sistemas, implementação de medidas de mitigação e monitoramento contínuo. Com isso, sua infraestrutura estará mais protegida contra essa e outras ameaças.