CTIR.GOV divulga nova vulnerabilidade da FORTINET

1. Foi publicada a existência de vulnerabilidade de segurança nos produtos FortiOS e FortiProxy, da empresa Fortinet, conforme descrito na Common Vulnerabilities and Exposures (CVE) abaixo relacionada:

• https://nvd.nist.gov/vuln/detail/CVE-2022-35843

2. A vulnerabilidade permite que agentes maliciosos, sem autenticação, possam executar tarefas arbitrárias remotamente na interface administrativa. As versões vulneráveis dos produtos são:

• FortiOS: de 7.2.0 a 7.2.1; 7.0.0 a 7.0.7; 6.4.0 a 6.4.9, 6.2 (todas) e 6.0 (todas);
• FortiProxy: de 7.0.0 a 7.0.6; 2.0.0 a 2.0.10; e 1.2.0 (todas).

Veja tambem: Governo do Alagoas é invadido por cybercriminosos nesta segunda(12)

4. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem as devidas atualizações para as versões 7.2.2, 7.0.8, e 6.4.10 do FortiOS (ou superiores, conforme cada caso), e 7.0.7 e 2.0.11 do FortiProxy (ou superiores, conforme cada caso), de acordo com as orientações do fabricante, disponíveis no link:

• https://www.fortiguard.com/psirt/FG-IR-22-255

5. O Sistema Operacional FortiOS é, frequentemente, alvo de ameaças a redes governamentais, pelo que se recomenda a adoção das medidas de atualização com a urgência que o caso requer. Reforçamos, por oportuno, a Recomendação 37/2022, disponível em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-37-2022

6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).

7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938

Equipe CTIR Gov.