A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA adicionou na quarta-feira uma falha crítica de segurança que afeta os produtos Fortinet ao seu catálogo, conhecida como Know Exploited Vulnerabilities (KEV), citando evidências de exploração ativa.
Vulnerabilidade, rastreada como CVE-2024-23113 (Pontuação CVSS: 9,8), refere-se a cenários de execução remota de código que afetam FortiOS, FortiPAM, FortiProxy e FortiWeb.
“Exploração de uma vulnerabilidade de string de formato controlada externamente [CWE-134] no daemon fgfmd do FortiOS pode permitir que um invasor remoto não autorizado execute código ou comandos usando solicitações especialmente criadas”, observou Fortinet em um comunicado sobre a falha em fevereiro de 2024.
Como costuma acontecer, o breve relatório contém poucos detalhes relacionados a como o bug está sendo explorado, ou quem o está habilitando e contra quem.
Devido à exploração ativa, os órgãos do Poder Executivo Civil Federal (FCEB) estão autorizados a utilizar a mitigação fornecida pelo fornecedor até 30 de outubro de 2024, para proteção integral.
Palo Alto Networks divulga bugs críticos na expedição
A atualização ocorre no momento em que a Palo Alto Networks revela várias falhas de segurança no Expedition que podem permitir que um invasor leia conteúdo e arquivos arbitrários do banco de dados, além de gravar arquivos arbitrários em locais de armazenamento temporário no sistema.
“Coletivamente, isso inclui informações como nomes de usuário, senhas, configurações de dispositivos e chaves de dispositivos API para firewalls PAN-OS”, disse a Palo Alto Networks em um alerta na quarta-feira.
As vulnerabilidades, que afetam todas as versões do Expedition anteriores a 1.2.96, estão listadas abaixo:
- CVE-2024-9463 (Pontuação CVSS: 9,9) – Uma vulnerabilidade de injeção de sistema operacional (SO) que permite que um invasor não autenticado execute comandos arbitrários do SO como root
- CVE-2024-9464 (Pontuação CVSS: 9.3) – Vulnerabilidade de injeção de comando do sistema operacional que permite que um invasor autorizado execute comandos arbitrários do sistema operacional como root
- CVE-2024-9465 (Pontuação CVSS: 9.2) – Vulnerabilidade de injeção de SQL que permite que um invasor não autorizado exponha o conteúdo do banco de dados do Expedition
- CVE-2024-9466 (Pontuação CVSS: 8.2) – Documentação clara de vulnerabilidades de informações confidenciais que permitem que um invasor autorizado revele nomes de usuários, senhas e chaves de API do sistema de segurança geradas usando essas credenciais
- CVE-2024-9467 (Pontuação CVSS: 7,0) – Uma vulnerabilidade demonstrada de cross-site scripting (XSS) que permite a execução de JavaScript malicioso no contexto do navegador de um usuário autenticado do Expedition se esse usuário clicar em um link malicioso, permitindo um ataque de phishing que pode levar a o navegador de -Expedition roubando sessão
A empresa deu crédito a Zach Hanley da Horizon3.ai por encontrar e relatar CVE-2024-9464, CVE-2024-9465 e CVE-2024-9466, e Enrique Castillo da Palo Alto Networks pelo CVE -2024-9463, CVE-2024 9464, CVE-2024-9465 e CVE-2024-9467.
Não há evidências de que essas questões tenham sido exploradas em estado selvagem, embora as etapas para reproduzir o problema já sejam públicas, cortesia de Horizon3.ai.
Existem aproximadamente 23 servidores Expedition expostos online, a maioria deles localizados nos EUA, Bélgica, Alemanha, Holanda e Austrália. Como atenuação, é recomendável restringir o acesso a usuários, hosts ou redes autorizados e fechar o software quando ele não estiver funcionando.
Cisco corrige o bug do controlador de malha do painel Nexus
Na semana passada, a Cisco também lançou patches para corrigir um bug crítico de problema de comando no Nexus Dashboard Fabric Controller (NDFC) que, segundo ela, decorre de autenticação incorreta do usuário e validação insuficiente de argumentos de comando.
É rastreado como CVE-2024-20432 (pontuação CVSS: 9,9), pode permitir que um invasor autorizado, que não tenha privilégios baixos, execute um ataque de injeção de comando no dispositivo afetado. O bug foi corrigido no NDFC versão 12.2.2. Observe que as versões 11.5 e anteriores não são afetadas.
“Um invasor pode explorar esta vulnerabilidade enviando comandos criados para o endpoint da API REST ou através da interface da web”, disse. “Uma exploração bem-sucedida pode permitir que um invasor emita comandos arbitrários na CLI de um dispositivo gerenciado pelo Cisco NDFC com privilégios de administrador de rede.”
