Vulnerabilidade Zero-Day Alvo de Firewalls Fortinet FortiGate

A empresa de cibersegurança Arctic Wolf divulgou na sexta-feira que atores de ameaças recentemente atacaram dispositivos de firewall Fortinet FortiGate com interfaces de gerenciamento expostas na Internet pública em uma campanha suspeita de zero-day.

De acordo com os pesquisadores do Arctic Wolf Labs, a atividade maliciosa contra os firewalls Fortinet começou em meados de novembro de 2024. Atores de ameaças desconhecidos alteraram as configurações do firewall acessando interfaces de gerenciamento nos firewalls afetados e extraindo credenciais usando DCSync em ambientes comprometidos.

“A campanha envolveu logins administrativos não autorizados nas interfaces de gerenciamento dos firewalls, criação de novas contas, autenticação SSL VPN através dessas contas e várias outras alterações de configuração”, escreveram os pesquisadores de segurança da Arctic Wolf em um post no blog publicado na semana passada.

Embora o vetor de acesso inicial usado nesta campanha permaneça desconhecido, o Arctic Wolf Labs está bastante confiante de que uma “campanha de exploração em massa” de uma vulnerabilidade zero-day é provável, considerando os prazos restritos nas organizações afetadas e a gama de versões de firmware afetadas.

As versões de firmware que variam de 7.0.14 a 7.0.16 foram predominantemente afetadas, que foram lançadas em fevereiro de 2024 e outubro de 2024, respectivamente.

O Arctic Wolf Labs atualmente identificou quatro fases separadas de ataque da campanha que visaram dispositivos FortiGate vulneráveis entre novembro de 2024 e dezembro de 2024:

Fase 1: Escaneamento de vulnerabilidades (16 de novembro de 2024 a 23 de novembro de 2024)

Fase 2: Reconhecimento (22 de novembro de 2024 a 27 de novembro de 2024)

Fase 3: Configuração SSL VPN (4 de dezembro de 2024 a 7 de dezembro de 2024)

Fase 4: Movimento Lateral (16 de dezembro de 2024 a 27 de dezembro de 2024)

Na primeira fase, os atores de ameaças realizaram escaneamentos de vulnerabilidades e fizeram uso de sessões jsconsole com conexões de e para endereços IP incomuns, como endereços de loopback (por exemplo, 127.0.0.1) e resolvers DNS populares, incluindo Google Public DNS e Cloudflare, tornando-os um alvo ideal para caça a ameaças.

Na fase de reconhecimento, os atacantes fizeram as primeiras alterações de configuração não autorizadas em várias organizações vítimas para verificar se haviam obtido acesso com sucesso para realizar alterações nos firewalls explorados.

Durante a terceira fase da campanha, os atores de ameaças fizeram alterações substanciais em dispositivos comprometidos para estabelecer acesso SSL VPN.

Em algumas intrusões, eles criaram novas contas de super admin, enquanto em outras, sequestraram contas existentes para obter acesso SSL VPN. Os atores de ameaças também criaram novos portais SSL VPN onde as contas de usuário foram adicionadas diretamente.

Na última fase, após obter com sucesso acesso SSL VPN dentro do ambiente da organização vítima, os atores de ameaças usaram a técnica DCSync para extrair credenciais para movimento lateral.

De acordo com a empresa de cibersegurança, os atores de ameaças foram removidos dos sistemas afetados antes que pudessem prosseguir.

O Arctic Wolf Labs notificou a Fortinet sobre a atividade observada nesta campanha em 12 de dezembro de 2024. O FortiGuard Labs PSIRT confirmou em 17 de dezembro de 2024 que está ciente da atividade conhecida e está investigando ativamente o problema.

Para se proteger contra tais problemas de segurança conhecidos, o Arctic Wolf Labs recomenda que as organizações desativem imediatamente o acesso de gerenciamento de firewall em interfaces públicas e limitem o acesso a usuários confiáveis.

Também aconselha a atualizar regularmente o firmware dos dispositivos de firewall para a versão mais recente para proteger contra vulnerabilidades conhecidas.