Nova vulnerabilidade no FortiOS SSL VPN da Fortinet permite a execução remota de código. A Tenable comentou sobre a exploração da vulnerabilidade por invasores patrocinados pelo estado ligados a países como Rússia, Irã e China.
Os pesquisadores de segurança da Mandiant estão rastreando uma nova campanha de ataques cibernéticos em que os invasores de dia zero exploram uma vulnerabilidade recentemente divulgada no FortiOS SSL VPN da Fortinet, CVE-2022-42475. Descobrir ou obter uma vulnerabilidade de dia zero normalmente é um empreendimento caro, portanto, é surpreendente, mas não inesperado, que um ator de estado-nação explore uma vulnerabilidade de dia zero.
Vulnerabilidades de dia zero são caras
“Desde 2019, vimos as vulnerabilidades Citrix, Pulse Secure e Fortinet SSL VPN sendo exploradas por uma variedade de invasores, desde afiliados de ransomware a grupos de ameaças persistentes avançadas (APT) e atores de estado-nação trabalhando com países como Rússia, Irã e China. estão conectados.
Como esses ativos são acessíveis publicamente, eles são um alvo ideal para ataques. De uma perspectiva de custo, o investimento no desenvolvimento ou aquisição de vulnerabilidades de dia zero é certamente maior, enquanto o uso de código de exploração disponível publicamente para vulnerabilidades mais antigas não custa nada. Com isso em mente, é surpreendente que um ator estatal com vínculos com a China explore uma vulnerabilidade de dia zero, embora não seja inesperado. As empresas que usam o software SSL VPN devem se concentrar em corrigir esses dispositivos em tempo hábil para limitar a janela de oportunidade para invasores oportunistas. Ao mesmo tempo, eles devem garantir que um programa robusto de resposta a incidentes de segurança esteja em vigor”, disse Satnam Narang, engenheiro de pesquisa da equipe da Tenable.
Vá cara a cara com ataque e patch
Três dias após a divulgação pública inicial, a Fortinet lançou o patch CVE-2022-42475 e confirmou que foi explorado na natureza. A falha crítica de segurança é uma vulnerabilidade de estouro de buffer. Isso permite a execução remota de código em várias versões do ForiOS usadas em VPNs SSL e firewalls.
As VPNs SSL da Fortinet são um alvo importante há anos - tanto que em 2021 o FBI e a CISA emitiram um comunicado especial sobre essas vulnerabilidades e como explorá-las. Agentes estatais são conhecidos por ainda explorar essas vulnerabilidades herdadas nas VPNs SSL da Fortinet. Como essa nova vulnerabilidade já foi explorada, as organizações devem corrigir o CVE-2022-42475 imediatamente antes que ele se junte às outras vulnerabilidades de VPN herdadas.
Mais em Tenable.com
Sobre a Tenable A Tenable é uma empresa de Cyber Exposure. Mais de 24.000 empresas em todo o mundo confiam na Tenable para entender e reduzir o risco cibernético. Os inventores do Nessus combinaram sua experiência em vulnerabilidade no Tenable.io, oferecendo a primeira plataforma do setor que fornece visibilidade em tempo real e protege qualquer ativo em qualquer plataforma de computação. A base de clientes da Tenable inclui 53% da Fortune 500, 29% da Global 2000 e grandes agências governamentais.