A Fortinet abordou vulnerabilidades críticas em seu Wireless LAN Manager (FortiWLM) que poderiam levar à execução remota de código (RCE) não autenticada e à divulgação de informações confidenciais. O endereço lançado pelos patches CVE-2023-34990 e CVE-2023-48782que, quando explorados em conjunto, podem conceder acesso não autorizado aos invasores. Os especialistas enfatizam a urgência dos clientes atualizarem seus sistemas.
Fortinet corrige vulnerabilidades críticas no Wireless LAN Manager
O bug identificado, CVE-2023-34990, tem uma pontuação CVSS de 9,6 e foi divulgado pela primeira vez em março de 2023. É categorizado como uma “vulnerabilidade de leitura limitada de arquivo não autenticada”. Zach Hanley, pesquisador de segurança da Horizon3.ai, relatou que a vulnerabilidade decorre de validação de entrada inadequada em parâmetros de solicitação. Essa falha permite que invasores percorram diretórios e acessem qualquer arquivo de log no sistema, revelando potencialmente informações confidenciais, como IDs de sessão de usuário. Esses logs são notavelmente detalhados no FortiWLM, aumentando o risco quando explorados.
O National Vulnerability Database (NVD) descreve como esta vulnerabilidade pode levar à execução de código não autorizado através de solicitações da web especialmente criadas. As versões afetadas do FortiWLM incluem 8.6.0 a 8.6.5, que foram abordadas em 8.6.6 e superior, e 8.5.0 a 8.5.4, corrigidas na versão 8.5.5 ou superior. Dada a proeminência da Fortinet como alvo de ataques cibernéticos, a necessidade de uma rápida aplicação de patches não pode ser exagerada.
Botnet BADBOX infecta mais de 192.000 dispositivos Android em todo o mundo
Além do CVE-2023-34990, uma vulnerabilidade separada, CVE-2023-48782, também desempenha um papel crítico na cadeia de exploração. Esta falha de injeção de comando autenticada tem uma pontuação CVSS de 8,8 e foi corrigida no ano anterior. Hanley observa que, quando combinada com a vulnerabilidade não autenticada, um invasor pode executar comandos maliciosos com privilégios de root, injetando comandos através de um endpoint específico, comprometendo ainda mais o sistema.
Kaspersky tem relatado exploração contínua de outra vulnerabilidade no FortiClient EMS da Fortinet, especificamente CVE-2023-48788que tem uma pontuação CVSS de 9,3. Esta vulnerabilidade de injeção de SQL permite que invasores enviem pacotes de dados especialmente criados, permitindo-lhes executar código não autorizado. A empresa de segurança cibernética documentou um ataque em outubro de 2024 que teve como alvo um servidor Windows que hospedava o FortiClient EMS. O ataque explorou portas abertas para obter controle sobre o servidor, levando à instalação de software de desktop remoto, como AnyDesk e ScreenConnect.
Após a violação inicial, os invasores supostamente carregaram cargas adicionais para movimentação lateral, coleta de credenciais e estabelecimento de persistência no sistema comprometido. As ferramentas usadas nesta campanha incluíam malware para recuperação de senha e verificação de rede, como Mimikatz e netscan.exe. Observa-se que a campanha teve como alvo várias empresas em vários países, revelando o alcance global e a sofisticação destas ameaças cibernéticas.
A Kaspersky observou outras tentativas de transformar o CVE-2023-48788 em uma arma, incluindo a execução de scripts PowerShell de servidores comprometidos para coletar respostas de outros alvos vulneráveis. Este esforço aponta para a evolução das metodologias de ataque e dos riscos contínuos para as organizações que utilizam produtos Fortinet. As divulgações iniciais da Forescout no início do ano relatado um padrão semelhante de exploração envolvendo a mesma vulnerabilidade para fornecer ferramentas de acesso remoto.
As organizações que utilizam os sistemas da Fortinet devem priorizar a atualização e a correção de seus equipamentos para mitigar os riscos associados a essas vulnerabilidades. Ainda não está claro até que ponto estas vulnerabilidades já foram exploradas globalmente, tornando essencial que os administradores permaneçam vigilantes.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
