Fortinet e as Vulnerabilidades

/ / Published in Informação, Security

Vulnerabilidades em softwares, inclusive os de segurança, são comuns hoje em dia e devem continuar assim por um bom tempo. No entanto, a Fortinet tem me chamado a atenção pela forma como lida com essas falhas.

Vulnerabilidades Persistentes nos Dispositivos Fortigate

De acordo com Cybernews e The Hacker News, durante a exploração de vulnerabilidades já conhecidas nos dispositivos Fortigate, como CVE-2024-21762, CVE-2023-27997 e CVE-2022-42475, foram criados links simbólicos (symlinks) que garantem acesso contínuo, mesmo após a aplicação de correções (atualização). Um relatório da Shadowserver Foundation revelou que mais de 14.000 VPNs Fortinet (no dia 11 de Abril) ainda estavam comprometidas, expondo dados sensíveis e configurando um cenário de risco para organizações em todo o mundo.

Note que uma das vulnerabilidades foi divulgada há 3 anos…

Essa persistência demonstra uma falha significativa: os patches da Fortinet não foram projetados para eliminar completamente os vestígios de comprometimento, deixando sistemas vulneráveis mesmo após a “correção”.

Diante dos risco, a recomendação da CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos EUA) é atualizar os dispositivos imediatamente, revisar as configurações e considerar medidas drásticas, como desativar o SSL-VPN, até que a atualização seja feita.

Livro CCNA

Análise Fortinet

A Fortinet divulgou uma análise em seu blog, mas apesar de mencionar esse link simbólico várias vezes, não foi divulgado nenhum indicador de comprometimento.

A mitigação, em algumas versões do firmware, é feita com a atualização (o link simbólico é apagado). Em outras a proteção fica com antivírus/IPS (se o recurso estiver licenciado e ativado…).

Aparentemente a Fortinet optou por não revelar os detalhes do link simbólico como forma de “proteger” a vulnerabilidade. Mas, considerando que a falha já estava sendo explorada ativamente, esconder essas informações não ajuda quem precisa se defender.

E o texto fala de transparência responsável…

Lições para o Futuro

Este caso da Fortinet serve como um alerta para empresas de cibersegurança e organizações que utilizam suas soluções. Aqui estão algumas lições importantes:

  1. Patches Completos São Essenciais (por mais óbvio que seja): Atualizações de segurança devem abordar não apenas a vulnerabilidade inicial, mas também quaisquer vestígios deixados por atacantes, como backdoors ou links maliciosos.
  2. Monitoramento Contínuo: As empresas precisam investir em monitoramento proativo para detectar atividades suspeitas, mesmo após a aplicação de patches.
  3. Comunicação Transparente: A Fortinet poderia ter sido mais clara na análise, inclusive mostrando como verificar se o symlinks existe ou não no equipamento.

As vulnerabilidades representam um desafio crítico nos dias de hoje, e sua gestão exige atenção e comprometimento. As correções fornecidas pelos fabricantes devem ser eficazes e disponibilizadas com agilidade. Além disso, é essencial manter uma comunicação clara e transparente ao longo de todo o processo.

Até a próxima.

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

ESW500: Novos switches anunciados no Summit
Cisco Umbrella: Secure Internet Gateway
12 verdades sobre redes de computadores (RFC 1925)

You must be logged in to post a comment.