Vulnerabilidades da Semana #001
Wagner Souza
1/17/20252 min read
Authentication Bypass Fortinet FortiOS / FortiProxy
Pesquisadores de segurança da informação estão chamando a atenção para uma nova campanha que tem como alvo ativos de firewall Fortinet FortiGate com interfaces de gerenciamento expostas na internet pública. "A campanha envolveu logins administrativos não autorizados em interfaces de gerenciamento de firewalls, criação de novas contas, autenticação SSL VPN por meio dessas contas e várias outras alterações de configuração", disse a empresa de segurança cibernética Arctic Wolf em uma análise publicada na semana passada
A Fortinet publicou detalhes de uma nova vulnerabilidade crítica de bypass de autenticação no FortiOS e FortiProxy (CVE-2024-5559, pontuação CVSS: 9.6) que está sendo usada para tomar controles de firewalls e comprometer redes corporativas.
A vulnerabilidade afeta as seguintes versões:
FortiOS 7.0.0 a 7.0.16 (Atualização para 7.0.17 ou superior)
FortiProxy 7.0.0 a 7.0.19 (Atualização para 7.0.20 ou superior)
FortiProxy 7.2.0 a 7.2.12 (Atualização para 7.2.13 ou superior)
Campanha de Botnets com alvo a roteadores Mikrotik
Um relatório recente da Infoblox Threat Intel destaca uma operação de botnet sofisticada que aproveita uma configuração incorreta de DNS para distribuir malware em grande escala. Essa botnet, construída em aproximadamente 13.000 dispositivos MikroTik comprometidos, usa domínios de remetentes falsificados e campanhas de malspam para implantar malware trojan e potencialmente conduzir outras atividades maliciosas.
De acordo com o relatório, “Esta botnet usa uma rede global de roteadores MikroTik para enviar e-mails maliciosos que são projetados para parecer vir de domínios legítimos.” Os invasores exploram configurações incorretas de DNS, especificamente em registros do Sender Policy Framework (SPF), permitindo que e-mails de servidores não autorizados passem por legítimos.
Multiplas vulnerabilidades no serviço Rsync
O CERT Coordination Center (CERT/CC) emitiu um boletim de segurança[1], referente a multiplas vulnerabilidades que afetam a aplicação Rsync, marcando o Red Hat, o Arch, o Gentoo, o Ubuntu NixOS, a AlmaLinux OS Foundation e o Triton Data Center como afetados.
"Quando combinadas, as duas primeiras vulnerabilidades (heap buffer overflow e vazamento de informações) permitem que um cliente execute código arbitrário em um dispositivo que tem um servidor Rsync em execução", alertou o CERT/CC.
As falhas do Rsync foram descobertas pelo Google Cloud e pesquisadores de segurança independentes[2] e podem ser combinadas para criar poderosas cadeias de exploração que levam ao comprometimento remoto do sistema.
As seis falhas foram reportadas nas CVEs abaixo:
Heap Buffer Overflow (CVE-2024-12084)
Information Leak via Uninitialized Stack (CVE-2024-12085)
Server Leaks Arbitrary Client Files (CVE-2024-12086)
Path Traversal via --inc-recursive Option (CVE-2024-12087)
Bypass of --safe-links Option (CVE-2024-12088)
Symbolic Link Race Condition (CVE-2024-12747)
Fontes: https://kb.cert.org/vuls/id/952657 / https://www.openwall.com/lists/oss-security/2025/01/14/3
Micorsoft Patch Tuesday 01/2025
Na terça-feira, 14/01/2025, a Microsoft diponibilizou o seu tradicional Patch Tuesday o qual inclui atualizações de segurança para 159 falhas, incluindo oito vulnerabilidades de dia zero, com três ativamente exploradas em ataques.
Este Patch Tuesday também corrige doze vulnerabilidades "críticas", incluindo divulgação de informações, elevação de privilégios e falhas de execução remota de código.
O número de bugs em cada categoria de vulnerabilidade está listado abaixo:
40 Vulnerabilidades de Elevação de Privilégio- 14 Vulnerabilidades de Bypass de Recurso de Segurança
58 Vulnerabilidades de Execução Remota de Código
24 Vulnerabilidades de Divulgação de Informações
20 Vulnerabilidades de Negação de Serviço
Vulnerabilidades de Spoofing
