Em um cenário cada vez mais preocupante, hackers estão explorando vulnerabilidades em firewalls Fortinet para instalar ransomware em redes corporativas. Essas falhas de segurança, recentemente divulgadas, permitem que atacantes remotos obtenham privilégios de super-administrador, comprometendo a segurança de sistemas críticos. Neste artigo, vamos explorar como essas vulnerabilidades estão sendo exploradas e quais medidas podem ser tomadas para proteger suas redes.
Vulnerabilidades em FortiOS e FortiProxy
As vulnerabilidades mais recentes afetam as versões do FortiOS e FortiProxy, permitindo que atacantes realizem bypasses de autenticação. A CVE-2024-55591, por exemplo, é uma vulnerabilidade de bypass de autenticação que permite a obtenção de privilégios de super-administrador através de solicitações maliciosas ao módulo Node.js websocket. Outra vulnerabilidade, CVE-2025-24472, também permite que atacantes remotos obtenham privilégios elevados, mas foi corrigida em atualizações de janeiro de 2025.
Impacto das Vulnerabilidades
O impacto dessas vulnerabilidades é significativo, pois permitem que os atacantes criem contas administrativas, modifiquem políticas de firewall e acessem instâncias de SSL VPN com contas maliciosas. Isso facilita a propagação de ransomware e outras ameaças dentro das redes corporativas. A campanha de ataque, que começou em meados de novembro de 2024, envolve várias fases, incluindo varredura de vulnerabilidades, reconhecimento, configuração de SSL VPN e movimentação lateral.
Medidas de Proteção
Para proteger suas redes contra essas ameaças, é crucial aplicar as atualizações de segurança mais recentes para FortiOS e FortiProxy. Além disso, desabilitar a interface de administração HTTP/HTTPS ou restringir o acesso a ela pode ajudar a mitigar o risco até que as atualizações sejam implementadas. A monitoração contínua das atividades de rede também é essencial para detectar e responder rapidamente a atividades suspeitas.
Consequências do Uso de Vulnerabilidades Conhecidas
O uso de vulnerabilidades conhecidas por hackers destaca a importância da manutenção regular de sistemas e a aplicação imediata de patches de segurança. A falta de atualizações pode levar a comprometimentos graves, como o vazamento de dados e a instalação de malware, incluindo ransomware. Portanto, manter-se atualizado sobre as últimas ameaças e seguir as recomendações de segurança é crucial para proteger infraestruturas críticas.
Prevenção e Resposta a Incidentes
A prevenção e resposta a incidentes devem ser priorizadas. Isso inclui a implementação de controles de segurança robustos, como autenticação multifator e monitoramento de logs, além de manter backups regulares dos dados críticos. Em caso de um incidente, ter um plano de resposta bem definido pode minimizar os danos e acelerar a recuperação.
Em Resumo
As vulnerabilidades nos firewalls Fortinet expõem redes corporativas a riscos significativos, facilitando a instalação de ransomware e o acesso não autorizado a sistemas críticos. Especialistas recomendam a atualização imediata dos sistemas e a implementação de medidas de segurança, como o monitoramento constante e a restrição do acesso às interfaces administrativas. Manter-se atualizado sobre as ameaças e aplicar correções é fundamental para proteger os dados e a continuidade dos negócios.
