Exploração em Massa dos Firewalls Fortinet: Investigação de Zero-Day em Andamento
Ataques cibernéticos em larga escala contra firewalls Fortinet FortiGate ocorreram entre novembro e dezembro de 2024, explorando vulnerabilidades ainda não confirmadas, de acordo com pesquisadores da Arctic Wolf Labs. O grupo observou intrusões massivas, com criminosos acessando interfaces de gerenciamento expostas na internet, alterando configurações e utilizando túneis SSL VPN para roubo de credenciais.
Zero-Day e Exploração em Massa
Os pesquisadores acreditam que uma vulnerabilidade zero-day possa estar sendo usada, já que os ataques seguiram um padrão oportunista e comprimido, com organizações afetadas relatando centenas a milhares de eventos de login maliciosos. A exploração parece ter começado em 16 de novembro de 2024, com mudanças de configuração notadas a partir de 22 de novembro, intensificando-se em massa entre os dias 4 e 7 de dezembro.
Fortinet ainda não confirmou a existência de um CVE ou liberou um patch que aborde o problema, mesmo após ser notificada pela Arctic Wolf em 12 de dezembro.
Métodos de Intrusão e Impacto
Os criminosos exploraram interfaces web e portas como 8023 e 9980, com logins maliciosos registrados sob a tag jsconsole. Os invasores criaram novas contas de super administrador ou sequestraram contas existentes, adicionando-as a grupos com acesso VPN. Também configuraram novos portais SSL VPN e manipularam as configurações de saída da CLI web, potencialmente para verificar o acesso ou facilitar futuras alterações.
Após garantir o acesso, eles usaram o método DC Sync para extrair hashes de senhas de contas do Active Directory, sugerindo preparação para movimentos laterais na rede.
Ransomware: Uma Possibilidade?
Embora os atacantes tenham sido removidos antes de avançarem, a Arctic Wolf destacou que ransomware não está fora de questão. Técnicas similares foram associadas a operadores de ransomware como Akira e Fog, mas não há confirmação de vínculo direto entre os ataques recentes e esses grupos.
O Que Fazer Agora?
Enquanto a Fortinet não libera uma correção, administradores devem:
- Fechar portas desnecessárias: como 8023 e 9980.
- Desativar interfaces de gerenciamento expostas na internet.
- Monitorar logs de segurança: procure por logins incomuns ou configurações alteradas.
- Atualizar o firmware: mesmo que não resolva esta vulnerabilidade específica, isso minimiza outros riscos conhecidos.
A exploração em massa de firewalls Fortinet reforça a necessidade de manter boas práticas de segurança e estar atento a possíveis vulnerabilidades. Acompanhe o Portal do Pixel para atualizações sobre este caso e outros relacionados à cibersegurança.
Fonte: https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/
Sou entusiasta de Tecnologia, Gamer, Blogueiro e Editor do Portal do Pixel.
