Recentemente, foi identificada uma vulnerabilidade crítica de bypass de autenticação (CWE-288) que afeta as versões do FortiOS e do FortiProxy. Essa falha permite que invasores remotos obtenham privilégios de superadministrador por meio de solicitações elaboradas ao módulo websocket do Node.js. Relatos indicam que essa vulnerabilidade está sendo ativamente explorada.
Versões afetadas e soluções disponíveis
Confira abaixo as versões impactadas e os passos para correção:
FortiOS 7.0 (7.0.0 a 7.0.16): Atualize para 7.0.17 ou superior.
FortiProxy 7.2 (7.2.0 a 7.2.12): Atualize para 7.2.13 ou superior.
FortiProxy 7.0 (7.0.0 a 7.0.19): Atualize para 7.0.20 ou superior.
Outras versões, como FortiOS 7.6, 7.4, 6.4 e FortiProxy 7.6, 7.4, 2.0, não são afetadas.
Você pode consultar a ferramenta de atualização oficial para orientação detalhada: Fortinet Upgrade Tool.
Indicadores de comprometimento (IoCs)
Fique atento a logs que indiquem atividades suspeitas, como:
Login de administradores com IPs aleatórios.
Exemplo:
log
Copiar código
type=”event” subtype=”system” level=”information” logdesc=”Login de administrador bem-sucedido”
user=”admin” srcip=1.1.1.1 action=”login” status=”success”
Criação de contas de administrador com nomes gerados aleatoriamente.
Exemplo:
log
Copiar código
type=”event” subtype=”system” logdesc=”Object attribute configured”
user=”admin” action=”Add” msg=”Add system.admin vOcep”
IPs frequentemente associados a ataques:
45.55.158.47
87.249.138.47
155.133.4.175
⚠ Atenção: Esses IPs são gerados arbitrariamente pelos invasores e não devem ser usados diretamente para bloqueio.
Soluções alternativas
Enquanto a atualização não é possível, considere as seguintes medidas de mitigação:
1) Desative o acesso HTTP/HTTPS à interface administrativa.
2) Restrinja o acesso à interface administrativa por IP:
– Crie grupos de endereços permitidos.
– Configure políticas locais para limitar o acesso.
Boas práticas adicionais
Utilize nomes de usuário de administrador não padrão e difíceis de adivinhar.
Garanta que todos os usuários da GUI tenham configurações de trusthost ou políticas locais bem definidas.
Nossa equipe está pronta para ajudar!
Estamos à disposição para auxiliá-lo com a atualização de sistemas, implementação de medidas de mitigação e monitoramento contínuo. Não deixe sua infraestrutura vulnerável. Entre em contato conosco agora mesmo para garantir que sua empresa esteja protegida contra essa e outras ameaças.
📩 Fale com nossos especialistas hoje mesmo!