A falha de autenticação identificada no firewall FortiGate da Fortinet continua representando um risco significativo para organizações em todo o mundo. Apesar do lançamento de atualizações, a empresa confirmou que a vulnerabilidade não foi totalmente corrigida, deixando sistemas expostos a ataques cibernéticos. Este artigo explora os detalhes da falha, suas implicações e as medidas que os administradores devem adotar para mitigar os riscos.
O que é a falha de autenticação no FortiGate?
A falha de autenticação está relacionada a um problema no sistema FortiCloud, que permite que cibercriminosos contornem os mecanismos de segurança e acessem contas de administradores sem autorização. Inicialmente, a Fortinet lançou uma atualização para resolver o problema, mas relatórios recentes indicam que dispositivos atualizados ainda estão sendo violados. Isso sugere que os hackers encontraram novas formas de explorar a vulnerabilidade.
Segundo a Fortinet, a equipe de segurança identificou o problema rapidamente e está trabalhando em uma correção definitiva. No entanto, enquanto a solução não é implementada, os usuários devem adotar medidas preventivas para proteger seus sistemas.
Como os hackers estão explorando a vulnerabilidade?
A investigação conduzida pela empresa de cibersegurança Arctic Wolf revelou que criminosos estão criando contas com acesso VPN para roubar configurações do firewall em ataques automatizados. Além disso, os ataques recentes apresentam semelhanças com incidentes ocorridos em dezembro, que envolviam duas vulnerabilidades de bypass de autenticação única (SSO) do FortiCloud.
Durante os primeiros ataques, os hackers utilizaram o endereço de e-mail “cloud-init@mail.io” para contornar as proteções do sistema. Eles também empregaram mensagens SAML maliciosas para comprometer as contas dos administradores. Essas táticas demonstram a sofisticação dos ataques e a necessidade de uma resposta ágil por parte das equipes de segurança.
Medidas recomendadas para proteger seus sistemas
Enquanto a Fortinet trabalha em uma correção definitiva, os especialistas recomendam que os usuários adotem as seguintes medidas para minimizar os riscos:
- Atualize o firmware: Certifique-se de que seu dispositivo esteja rodando a versão mais recente do firmware, preferencialmente a atualização 7.6, que inclui os últimos recursos de segurança.
- Restaure configurações: Restaure a configuração do seu firewall para uma versão zerada ou inspecione quaisquer mudanças não autorizadas. Verifique a presença de administradores inesperados ou configurações de VPN suspeitas.
- Desative o FortiCloud SSO: Desative temporariamente o recurso de autenticação única (SSO) do FortiCloud para evitar ataques em potencial.
- Limite o acesso por IP: Implemente uma política de acesso local que restrinja os endereços IP que podem acessar as contas de administradores.
- Abra um ticket de suporte: Caso identifique qualquer configuração comprometida, abra um ticket de suporte para verificar as credenciais, incluindo contas LDAP/AD conectadas aos dispositivos FortiGate.
Conclusão
A falha de autenticação no firewall FortiGate representa um desafio significativo para a segurança cibernética. Embora a Fortinet esteja trabalhando em uma solução, é crucial que os administradores adotem medidas proativas para proteger seus sistemas. Ao seguir as recomendações acima, as organizações podem reduzir os riscos e evitar possíveis invasões.
Mantenha-se atualizado sobre as últimas notícias de segurança e siga as orientações da Fortinet para garantir a proteção dos seus dispositivos.