Em um alarmante desenvolvimento no cenário de segurança cibernética, uma vulnerabilidade zero-day recentemente descoberta em firewalls Fortinet FortiGate está sendo ativamente explorada por atacantes. Esta falha crítica, identificada como CVE-2024-55591, permite que invasores obtenham privilégios de super-administrador em dispositivos FortiOS e FortiProxy, comprometendo seriamente a segurança de organizações em todo o mundo[1][7].
Detalhes da Vulnerabilidade
A vulnerabilidade afeta as versões do FortiOS de 7.0.0 a 7.0.16 e do FortiProxy de 7.0.0 a 7.0.19 e 7.2.0 a 7.2.12. Classificada com uma pontuação de severidade crítica de 9,6 em 10, esta falha permite que atacantes remotos obtenham privilégios de super-administrador através de requisições especialmente elaboradas ao módulo websocket Node.js[7][8].
Campanha de Exploração em Massa
Pesquisadores da Arctic Wolf Labs detectaram uma campanha de exploração em massa que começou em meados de novembro de 2024. A campanha envolveu quatro fases distintas[3]:
- Varredura de vulnerabilidades (16 a 23 de novembro de 2024)
- Reconhecimento (22 a 27 de novembro de 2024)
- Configuração de SSL VPN (4 a 7 de dezembro de 2024)
- Movimento lateral (16 a 27 de dezembro de 2024)
Os atacantes realizaram logins administrativos não autorizados, criaram novas contas, autenticaram-se via SSL VPN e fizeram diversas alterações de configuração nos dispositivos comprometidos[3][9].
Impacto e Alcance
A escala deste ataque é preocupante. Uma análise do Shodan revelou aproximadamente 490.000 interfaces SSL VPN expostas, com cerca de 69% delas ainda não corrigidas[2]. Isso representa um risco significativo para organizações em diversos setores, pois os firewalls FortiGate são amplamente utilizados como primeira linha de defesa em redes corporativas[4].
Ações Recomendadas
A Fortinet lançou patches para corrigir esta vulnerabilidade. As organizações são fortemente aconselhadas a:
- Atualizar imediatamente para as versões corrigidas: FortiOS 7.0.17 ou superior, FortiProxy 7.2.13 ou superior, ou 7.0.20 ou superior[8].
- Desabilitar ou limitar o acesso à interface de administração HTTP/HTTPS em interfaces públicas[1].
- Verificar logs e configurações em busca de indicadores de compromisso, como novos usuários criados ou alterações não autorizadas[7].
- Implementar autenticação multifator e segmentação de rede para mitigar riscos[10].
Conclusão
Este incidente destaca a importância crítica de manter sistemas de segurança atualizados e monitorados constantemente. A rápida evolução das ameaças cibernéticas exige que as organizações sejam proativas em sua abordagem de segurança, especialmente quando se trata de dispositivos de infraestrutura crítica como firewalls.
A exploração bem-sucedida desta vulnerabilidade zero-day em firewalls Fortinet serve como um lembrete sombrio de que mesmo as soluções de segurança mais robustas podem ter falhas. É essencial que as empresas mantenham uma postura de segurança vigilante, implementando práticas de segurança em camadas e respondendo rapidamente a novas ameaças à medida que surgem.
Citations:
[1] https://www.bleepingcomputer.com/news/security/fortinet-warns-of-auth-bypass-zero-day-exploited-to-hijack-firewalls/
[2] https://bishopfox.com/blog/cve-2023-27997-exploitable-fortigate-vulnerable
[3] https://www.cyberdaily.au/security/11577-researchers-warn-of-mass-exploitation-of-fortinet-fortigate-zero-day
[4] https://www.theregister.com/2025/01/14/miscreants_mass_exploited_fortinet_firewalls/
[5] https://www.reddit.com/r/cybersecurity/comments/1i12w0t/zeroday_vulnerability_suspected_in_attacks_on/
[6] https://www.fortinet.com/resources/cyberglossary/zero-day-attack
[7] https://www.crn.com/news/security/2025/fortinet-confirms-exploitation-of-critical-vulnerability-in-fortios-fortiproxy
[8] https://www.helpnetsecurity.com/2025/01/14/fortinet-fortigate-zero-day-vulnerability-exploited-cve-2024-55591/
[9] https://thehackernews.com/2025/01/zero-day-vulnerability-suspected-in.html
[10] https://www.orangecyberdefense.com/global/blog/cert-news/0-day-in-exposed-management-consoles-of-fortinet-fortigate-firewalls
[11] https://onsitecomputing.net/2025/01/14/zero-day-vulnerability-suspected-in-html/
[12] https://cybersrcc.com/2025/01/14/mass-exploitation-campaign-targets-fortinet-firewalls-using-suspected-zero-day-vulnerability/
