Vulnerabilidades da Semana #020

Atualizações recentes corrigem falhas críticas em sistemas amplamente utilizados. Destaque para vulnerabilidades em Fortinet (SSL-VPN e RCE em FortiVoice), Kibana, PAN-OS, PostgreSQL JDBC Driver, Jenkins e Wazuh, com risco de acesso indevido, execução remota de código e exploração ativa por botnets. A Microsoft também lançou 66 correções no Patch Tuesday de junho, incluindo uma falha zero-day. Atualizações imediatas são recomendadas.

Wagner Souza

6/15/20255 min read

CVE-2025-25250 | CVSS 3.9

Vulnerabilidade o FortiOS SSL-VPN

A Fortinet divulgou uma nova vulnerabilidade de segurança que afeta o modo web SSL-VPN do FortiOS, permitindo que usuários autenticados obtenham acesso não autorizado a todas as configurações de SSL-VPN por meio de URLs especialmente criadas.

A vulnerabilidade, notificada na CVE-2025-25250 (CVSS 3.9), decorre de uma falha chamada "Exposure of Sensitive Information to an Unauthorized Actor", e afeta versões do FortiOS, causando um impacto significativo em toda a base de usuários da Fortinet. As versões 6.4, 7.0 e 7.2 do FortiOS, devem ser atualizados para versões corrigidas, pois não há patches disponíveis para essas versões mais antigas.

Versões mais recentes mostram níveis de exposição variados: o FortiOS 7.4.0 a 7.4.7 exigem atualizações imediatas para a versão 7.4.8 ou superior, enquanto usuários do FortiOS 7.6.0 devem atualizar para a versão 7.6.1 ou superior.

  1. https://fortiguard.fortinet.com/psirt/FG-IR-24-257

CVE-2024-43706 | CVSS 7.6

Vulnerabilidade no Kibana

A Elastic divulgou uma vulnerabilidade, identificada como CVE-2024-43706 (CVSS 7.6), a qual afeta sua plataforma de observabilidade por meio recurso Monitoramento Sintético acessível por meio do Kibana. A falha permite que invasores abusem de privilégios, fazendo requisições HTTP diretas a um endpoint cujo acesso deveria ter sido restrito — relizando bypass nas restrições da interface do usuário e acessando dados ou acionando ações sem autorização.

Esta falha afeta o Kibana 8.12.0 e versões anteriores e foi corrigida no Kibana 8.12.1. A Elastic recomenda que todos os clientes atualizem imediatamente seus deployments. A vulnerabilidade afeta tanto implantações self-hosted como executadas na Elastic Cloud.

  1. https://discuss.elastic.co/t/kibana-8-12-1-security-update-esa-2024-21/379064

CVE-2025-4230 | CVSS 7.3

Vulnerabilidades no PAN-OS

Uma vulnerabilidade de command injection, CVE-2025-4230, no software PAN-OS® da Palo Alto Networks permite que um administrador autenticado ignore as restrições do sistema e execute comandos arbitrários como usuário root. Para explorar essa falha, o usuário precisa ter acesso à CLI do PAN-OS. O risco de segurança representado por essa vulnerabilidades é minimizado quando o acesso à CLI é restrito a um grupo limitado de administradores. O Cloud NGFW e o Prisma® Access não são afetados por essa vulnerabilidade.

Produtos afetados:

  • PAN-OS 11.2 < 11.2.6

  • PAN-OS 11.1 < 11.1.10

  • PAN-OS 10.2 < 10.2.14

  • PAN-OS 10.1 < 10.1.14-h15

A Palo Alto recomenda a atualização do PAN-OS para as seguintes versões:

  • PAN-OS 11.2 >= 11.2.6

  • PAN-OS 11.1 >= 11.1.10

  • PAN-OS 10.2 >= 10.2.14

  • PAN-OS 10.1 >= 10.1.14-h15

  1. https://security.paloaltonetworks.com/CVE-2025-4230

CVE-2025-49146[1] | CVSS 8.2

Vulnerabilidade no PostgreSQL JDBC Driver (PgJDBC)

Uma vulnerabilidade no driver JDBC do PostgreSQL (PgJDBC) permite que invasores interceptem conexões de banco de dados mesmo que estes estejam protegidos com controles de segurança. Identificada como CVE-2025-49146[1] (CVSS 8.2), a falha compromete a segurança das comunicações em aplicativos Java que se conectam a bancos de dados PostgreSQL. A vulnerabilidade reside no manuseio incorreto da configuração channelBinding=require, projetada para garantir proteção na camada de transporte (SSL/TLS) no processo de autenticação.

Essa falha afeta todos os aplicativos que usam o PostgreSQL JDBC Driver v42.7.4 até v42.7.6 e foi corrigida na versão 42.7.7[2].

  1. https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-hq9p-pm7w-8p54

  2. https://github.com/pgjdbc/pgjdbc/releases/tag/REL42.7.7

CVE-2025-5806 | CVSS 8.1

Vulnerabilidade no plugin Jenkins Gatling

Uma vulnerabilidade crítica de cross-site scripting (XSS) foi encontrada no plugin Jenkins Gatling permitindo a atores de ameaças realizarem bypass no Content-Security-Policy (CSP). A falha, identificada como CVE-2025-5806[1] (CVSS 8.1), afeta o plugin Gatling versão 136.vb_9009b_3d33a_e e representa riscos significativos para ambientes Jenkins que utilizam essa ferramenta de integração de testes de desempenho. Content-Security-Policy (CSP) é um controle de segurança web que ajuda a prevenir ataques de cross-site scripting controlando quais recursos podem ser carregados e executados por uma página web.

A equipe de segurança do Jenkins confirmou que não há patches disponíveis para a versão afetada do plugin Gatling, 136.vb_9009b_3d33a_e. A principal estratégia de mitigação recomendada pelo Jenkins envolve o downgrade para a versão 1.3.0 do plugin Gatling, que não é afetada por esta vulnerabilidade.

  1. https://www.jenkins.io/security/advisory/2025-06-06/

CVE-2025-32756 | CVSS 9.8

PoC disponibilizada para falha de 0-day em produtos Fortinet

Uma nova proof-of-concept (PoC)[1], referente a uma vulnerabilidade crítica de 0-day que afeta diversos produtos Fortinet. A vulnerabilidade, identificada como CVE-2025-32756[2] (CVSS 9.8), permite a execução remota de código (RCE), não autenticado, por meio de uma falha stack-based buffer overflow.

A Fortinet confirmou que esta vulnerabilidade está sendo explorada ativamente, visando especificamente instalações do FortiVoice. A equipe de segurança da empresa identificou atividades específicas de agentes de ameaças após tentativas bem-sucedidas de exploração, incluindo operações de reconhecimento de rede e manipulação de logs do sistema.

A Fortinet lançou patches de segurança para todos os produtos afetados. As organizações devem atualizar imediatamente para as seguintes versões: FortiVoice 7.2.1+, 7.0.7+ ou 6.4.11+; FortiMail 7.6.3+, 7.4.5+, 7.2.8+ ou 7.0.9+; FortiNDR 7.6.1+, 7.4.8+, 7.2.5+ ou 7.0.7+; FortiRecorder 7.2.4+, 7.0.6+ ou 6.4.6+; e FortiCamera 2.1.4+.

Search

Ativos Fortinet disponíveis na internet:

🔗 Netals -> https://app.netlas.io/responses/?q=certificate.subject.common_name%3A%22FortiMail%22%20OR%20certificate.subject.common_name%3A%22FortiRecorder%22%20OR%20certificate.subject.common_name%3A%22FortiVoice%22&page=1

🔗 FOFA -> https://en.fofa.info/result?qbase64=YXBwPSJGT1JUSU5FVC1Gb3J0aVZvaWNlIiB8fCBhcHA9IkZvcnRpbmV0LUZvcnRpTkRSIiB8fCBhcHA9IkZPUlRJTkVULUZvcnRpQ2FtZXJhIiB8fCBhcHA9IkZPUlRJTkVULUZvcnRpTWFpbCIgfHwgYXBwPSJGT1JUSU5FVC1Gb3J0aVJlY29yZGVyIiB8fCA%3D

🔗 ZoomEyE -> https://www.zoomeye.ai/searchResult?q=dGl0bGU9IkZvcnRpVm9pY2UiIHx8IHRpdGxlPSJGb3J0aU5EUiIgfHwgdGl0bGU9IkZvcnRpQ2FtZXJhIiB8fCBhcHA9IkZvcnRpTWFpbCBzbXRwZCIgfHwgYXBwPSJGb3J0aVJlY29yZGVyIEFkbWluIg%3D%3D&from=25051403

  1. https://github.com/kn0x0x/CVE-2025-32756-POC

  2. https://fortiguard.fortinet.com/psirt/FG-IR-25-254

Akamai alerta sobre exploração de vulnerabilidade RCE no Wazuh

A Akamai’s Security Intelligence and Response Team (SIRT[1]) descobriu uma exploração ativa da CVE-2025-24016[2] (CVSS 9.9), uma vulnerabilidade crítica de remote code execution (RCE) em servidores Wazuh, por diversas botnets baseadas em Mirai. Divulgada em fevereiro de 2025, a CVE-2025-24016 afeta as versões 4.4.0 a 4.9.0 do Wazuh e permite que invasores obtenham RCE criando uma requição run_as maliciosa para o endpoint /security/user/authenticate/run_as.

A Akamai identificou duas campanhas distintas de botnets que exploram essa vulnerabilidade, ambas utilizando variações do malware Mirai.

A primeira onda surgiu no início de março de 2025, logo após a divulgação pública do CVE, visando dispositivos IoT com um conjunto de binários específicos para cada arquitetura. O malware, denominado "morte", faz parte da família LZRD Mirai, conhecida pela string de console "lzrd here".

Em maio de 2025, a Akamai observou uma segunda botnet, denominada "Resbot", explorando a mesma vulnerabilidade, mas usando nomes de domínio em italiano, como gestisciweb.com, sugerindo que o alvo eram usuários de língua italiana. O malware, "resgod", exibe a string de console "Resentual got you!" ao ser executado e também tem como alvo diversas arquiteturas de CPU.

A equipe de pesquisa da Akamai disponibilizou regras de detecção para o Snort, YARA bem como a lista de IOCs observados nessas campanhas.

  1. https://www.akamai.com/blog/security-research/botnets-flaw-mirai-spreads-through-wazuh-vulnerability

  2. https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh

Microsoft's Patch Tuesday Junho/2025

A Microsoft lançou suas atualizações mensais do Patch Tuesday[1], abordando um total de 66 vulnerabilidades relacionadas aos seus produtos. Esta versão inclui a correção de uma vulnerabilidade de dia zero (CVE-2025-33053[2]) que está sendo explorada ativamente, bem como de outra vulnerabilidade (CVE-2025-33073[3]) que foi divulgada publicamente.

O Patch Tuesday de junho de 2025 aborda vulnerabilidades em diversas categorias:

  • 25 Vulnerabilidades de Execução Remota de Código (RCE)

  • 13 Vulnerabilidades de Elevação de Privilégio

  • 17 Vulnerabilidades de Divulgação de Informações

  • 6 Vulnerabilidades de Negação de Serviço

  • 3 Vulnerabilidades de Bypass de Recurso de Segurança

  • 2 Vulnerabilidades de Spoofing

  1. https://msrc.microsoft.com/update-guide/

  2. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053

  3. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-33073

Veja no Youtube