O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) advertiu às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) e demais entidades/instituições que identifiquem em seus inventários de ativos a utilização das soluções vulneráveis da Fortinet e apliquem, no mais curto prazo, as atualizações disponibilizadas pelo desenvolvedor.
Em comunicado, o CTIR.Gov reporta que o Product Security Incident Response Team (PSIRT) da Fortinet identificou novas formas de pós-exploração de vulnerabilidades já conhecidas e remediadas anteriormente em dispositivos FortiGate, conforme relatado em: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
Segundo o órgão governamental, a persistência do acesso indevido identificada ocorre por meio de um link simbólico em formato somente leitura que pode permitir acesso ao sistema de arquivos. Também foi observado que o link se mantém mesmo que o FortiOS receba as atualizações mais recentes para corrigir as vulnerabilidades. Caso o serviço SSL-VPN nunca tenha sido ativado, a organização não será impactada por esta exploração.
Como mitigação, a Fortinet recomendou as seguintes ações:
atualizar todos os dispositivos para as versões 7.6.2, 7.4.7, 7.2.11 & 7.0.17 ou 6.4.16;
tratar os dispositivos como potencialmente comprometidos e revisar as suas configurações; e
seguir as etapas recomendadas abaixo quando houver indícios de atividade maliciosa nos dispositivos Fortinet:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
