Falha do Fortinet FortiOS explorada em ataques cibernéticos direcionados a entidades governamentais

“A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disseram os pesquisadores da Fortinet Guillaume Lovet e Alex Kong em um comunicado na semana passada.

A falha de dia zero em questão é CVE-2022-41328 (pontuação CVSS: 6,5), um bug de travessia de caminho de segurança média no FortiOS que pode levar à execução arbitrária de código.

“Uma limitação imprópria de um nome de caminho para uma vulnerabilidade de diretório restrito (‘path traversal’) [CWE-22] no FortiOS pode permitir que um invasor privilegiado leia e grave arquivos arbitrários por meio de comandos CLI criados”, observou a empresa.

A falha afeta as versões 6.0, 6.2, 6.4.0 a 6.4.11 do FortiOS, 7.0.0 a 7.0.9 e 7.2.0 a 7.2.3. As correções estão disponíveis nas versões 6.4.12, 7.0.10 e 7.2.4, respectivamente.

A divulgação ocorre dias depois que a Fortinet lançou patches para corrigir 15 falhas de segurança, incluindo CVE-2022-41328 e um problema crítico de estouro de buffer baseado em pilha que afeta o FortiOS e o FortiProxy (CVE-2023-25610, pontuação CVSS: 9,3).

De acordo com a empresa com sede em Sunnyvale, vários dispositivos FortiGate pertencentes a um cliente não identificado sofreram uma “parada repentina do sistema e falha de inicialização subsequente”, indicando uma violação de integridade.