02.png

Centenas de empresas brasileiras permanecem vulneráveis ao CVE-2018-13379.

 

Recentemente foi divulgado em um fórum hacker, uma lista contendo aproximadamente 51 mil endereços IPs vulneráveis à CVE-2018-13379. Esta vulnerabilidade, do tipo "Path traversal" permite ao atacante obter arquivos de configuração e no cenário em questão, as credenciais de usuários locais de appliances Fortigate.

Este artetafo foi citado em blog especializado em Nov/2020, conforme o link a seguir. (https://secrutiny.com/2020/11/hacker-posts-exploits-exposes-passwords-for-vulnerable-fortinet-vpns/)

Obtivemos acesso a esta lista e pudemos observar 1300+ endereços IPs nacionais, dentre eles, centenas pertencentes à empresas de médio e grande porte, multinacionais, dos segmentos de Turismo, Logística, Indústria Automotiva, Industria Alimentícia, Tecnologia, entre outras, assim como diversos órgãos federais, estaduais e municipais, tal como companhias potencialmente consideradas dentro do programa de infraestruturas críticas de Energia.

Vale ressaltar que a vulnerabilidade em questão foi descoberta em 2018 e documentações de workaround tais como firmwares com correção já estavam disponíveis a partir Nov/2019.

 

Lembramos ainda que pela característica do produto em questão, há grande probabilidade de sua legítima exposição à internet de forma abrangente, porém contramedidas podem e devem ser consideradas para redução do risco, como:

  • Desative a autenticação local do seu equipamento para funcionalidade de VPN e de Administração, efetuando autenticação em plataforma externa como RADIUS / LDAP.

  • Adicione múltiplos fatores (MFA) para autenticação do seu dispositivo.

  • Utilize filtros de GeoIP para limitar a origem de suas requisições VPN para Países/Regiões com legítimo interesse.

  • Utilize funcionalidades de Prevenção de Intrusos para detecção e bloqueio das tentativas de exploração da vulnerabilidade em questão.

  • Garanta que os LOGs do acesso web (Portal SSL), autenticação e funcionalidades do dispositivos estão integrados com sua ferramenta de SIEM e regras de correlação destes eventos estão ativas.

  • Intensificar o monitoramento do path afetado:
    /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession


Abaixo a relação de versões de SO do Fortigate afetadas, SOMENTE se o serviço de SSL VPN (modo web ou modo túnel) estiver habilitado:

  • FortiOS 6.0 - 6.0.0 a 6.0.4

  • FortiOS 5.6 - 5.6.3 a 5.6.7

  • FortiOS 5.4 - 5.4.6 a 5.4.12
     

(outras releases e versões além das acima não são afetadas)

Para maiores informações sobre o CVE, acesse: https://www.fortiguard.com/psirt/FG-IR-18-384

Ameaças por Regiões

CVE-2018-13379_Map.PNG
CVE-2018-13379_ISP.PNG

Outras informações relevantes

Orgãos Governamentais

12

Principais ISPs 

ISPs.bmp