Segurança

Governo manda fazer atualização urgente do sistema operacional da Fortinet por medo de invasões

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recomendou, com urgência, às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem as devidas atualizações para as versões 7.2.2, 7.0.8, e 6.4.10 do FortiOS (ou superiores, conforme cada caso), e 7.0.7 e 2.0.11 do FortiProxy (ou superiores, conforme cada caso), de acordo com as orientações do fabricante, disponíveis no link: https://www.fortiguard.com/psirt/FG-IR-22-255

Foi publicada a existência de vulnerabilidade de segurança nos produtos FortiOS e FortiProxy, da empresa Fortinet, conforme descrito na Common Vulnerabilities and Exposures (CVE) abaixo relacionada: https://nvd.nist.gov/vuln/detail/CVE-2022-35843

A vulnerabilidade permite que agentes maliciosos, sem autenticação, possam executar tarefas arbitrárias remotamente na interface administrativa. As versões vulneráveis dos produtos são:

FortiOS: de 7.2.0 a 7.2.1; 7.0.0 a 7.0.7; 6.4.0 a 6.4.9, 6.2 (todas) e 6.0 (todas);

FortiProxy: de 7.0.0 a 7.0.6; 2.0.0 a 2.0.10; e 1.2.0 (todas).


Vulnerabilidade

Uma falha de segurança rastreada como CVE-2022-42475 e classificada como bug de estouro de buffer baseado em heap no FortiOS, sistema operacional da Fortinet, pode permitir que usuários não autenticados travem dispositivos remotamente e potencialmente realizem a execução de código ou comandos arbitrários por meio de solicitações especificamente criadas, conforme alerta a própria empresa, feito em um comunicado de segurança divulgado nesta terça-feira, 13.

Conforme relatado pelo site LeMagIT, a empresa francesa de segurança cibernética Olympe Cyberdefense divulgou pela primeira vez a vulnerabilidade de dia zero, alertando os usuários para monitorar seus logs em busca de atividades suspeitas até que um patch fosse lançado.

A Fortinet corrigiu o bug no FortiOS 7.2.3 — e outras versões lançadas anteriormente — em 28 de novembro sem divulgar nenhuma informação sobre a falha de dia zero. Mas o site BleepingComputer descobriu que a empresa emitiu um comunicado privado aos clientes no dia 7 deste mês com mais informações sobre o bug.

Botão Voltar ao topo