Publicação de Wagner S.

Atualização Urgente: SonicWall A SonicWall revelou que uma falha de segurança crítica, recentemente corrigida, impactando o SonicOS pode ter sido alvo de exploração ativa, tornando essencial que os usuários apliquem os patches o mais rápido possível. A vulnerabilidade, identificada como CVE-2024-40766, possui uma pontuação CVSS de 9.3 em 10. Segundo a SonicWall, trata-se de uma vulnerabilidade de controle de acesso inadequado no gerenciamento de acesso e SSLVPN do SonicOS, podendo levar a acessos não autorizados e, em condições específicas, causar o travamento do firewall. A empresa informou que a CVE-2024-40766 também afeta o recurso SSLVPN do firewall e já foi corrigida nas versões especificadas. A SonicWall revelou que a possibilidade de exploração da vulnerabilidade está sendo investigada e alertou os usuários a aplicarem o patch o mais rápido possível. Recomenda-se restringir o gerenciamento do firewall a fontes confiáveis e limitar o acesso ao SSLVPN. Medidas adicionais incluem a ativação de autenticação de múltiplos fatores (MFA) para todos os usuários do SSLVPN e a atualização imediata das senhas para evitar acessos não autorizados. Embora não haja detalhes sobre como a falha pode ter sido utilizada, é importante lembrar que ameaças como atores chineses têm explorado vulnerabilidades em produtos SonicWall no passado. Portanto, a adoção de boas práticas de segurança é fundamental para proteger os sistemas. Data de publicação: 06/09/2024. REF:https://buff.ly/47fClmi

Fortinet alerta sobre vulnerabilidade crítica em firewalls A Fortinet informou sobre uma nova vulnerabilidade de authentication bypass zero-day, atualmente em exploração por atacantes que visam sequestrar firewalls da empresa, afetando versões do FortiOS de 7.0.0 a 7.0.16 e FortiProxy de 7.0.0 a 7.0.19, além das versões 7.2.0 a 7.2.12. Esta falha permite que atacantes remotos obtenham privilégios de superadministrador por meio de requisições maliciosas ao módulo Node.js. Os invasores estão utilizando essa vulnerabilidade para criar contas de administrador aleatórias em dispositivos comprometidos, adicionando-as a grupos de usuários existentes de SSL VPN. Além disso, têm alterado políticas de firewall e feito outros ajustes, o que lhes permite conectar-se ao SSL VPN com as contas criadas e acessar a rede interna. Um relatório da empresa Arctic Wolf revelou que ataques têm sido registrados desde meados de novembro, com vários acessos não autorizados nas interfaces de gerenciamento do firewall. Como medida temporária, a Fortinet recomenda desativar a interface administrativa HTTP/HTTPS ou limitar os endereços IP que podem acessá-la. Até o momento, ainda não foi mencionada uma versão corrigida para essa vulnerabilidade, mas é crucial que os administradores de rede adotem precauções imediatamente até que uma atualização oficial seja disponibilizada.

A Palo Alto Networks comunicou a identificação de uma vulnerabilidade grave em seu software PAN-OS. A falha afeta o recurso DNS Security, permitindo que invasores não autenticados enviem pacotes DNS maliciosos, resultando em uma Negação de Serviço (DoS). Houve relatos de clientes que sofreram essas interrupções, ocorridas quando o firewall tenta bloquear os pacotes DNS maliciosos, e a Palo Alto Networks reconheceu as ocorrências. Tentativas repetidas de explorar essa vulnerabilidade podem levar o firewall ao modo de manutenção por meio de reinicialização, impactando gravemente as operações de rede. #empresas #pme #negocios #inovacao #transformacaodigital #resiliencia #malware #ransomware #impactos #incidente #riscocibernetico

🏴☠️ 🔥🧱 A Palo Alto Networks, uma das principais empresas de segurança cibernética, emitiu um alerta para que seus clientes limitem o acesso à interface de gerenciamento de seus firewalls de última geração. Em resposta ao possível risco, a Palo Alto recomenda que os clientes bloqueiem o acesso da Internet à interface de gerenciamento, restringindo-o apenas a IPs internos confiáveis. A empresa orienta ainda que as melhores práticas, como isolamento da interface em uma VLAN dedicada e uso de jump servers, sejam adotadas para reduzir a exposição. Usuários do Cortex Xpanse e Cortex XSIAM também podem monitorar instâncias expostas usando alertas do módulo ASM. #empresas #pme #negocios #inovacao #transformacaodigital #resiliencia #malware #ransomware #impactos #incidente #riscocibernetico

Mais de 25.000 dispositivos SonicWall SSLVPN vulneráveis a ataques Mais de 25.000 dispositivos SonicWall SSLVPN estão expostos a falhas críticas, com aproximadamente 20.000 operando em uma versão de firmware SonicOS/OSX não suportada. Essa grave situação foi revelada por uma análise da empresa de cibersegurança Bishop Fox, que identificou vulnerabilidades sendo exploradas por grupos de ransomware, como Fog e Akira, visando acesso inicial a redes corporativas. Utilizando ferramentas de escaneamento de internet como Shodan e BinaryEdge, a análise apontou que 430.363 firewalls SonicWall estão publicamente expostos, com interfaces de gerenciamento ou SSL VPN acessíveis na internet. Essas condições oferecem oportunidades para que atacantes explorem vulnerabilidades, firmware desatualizado, configurações incorretas e senhas fracas. A descoberta é preocupante, pois cerca de 119.503 endpoints foram encontrados vulneráveis a problemas de alta e crítica severidade. Embora uma correção esteja disponível na versão SonicOS mais recente, o cenário permanece grave, com atualizações lentas e falta de patches aumentando o número de dispositivos vulneráveis. As descobertas ressaltam a necessidade de as empresas melhorarem a segurança de seus firewalls para reduzir o risco de ataques, sendo a limitação de acesso a essas interfaces a endereços IP específicos uma possível estratégia de defesa.

Hackers chineses exploram falha grave no FortiClient de VPN Recentemente, hackers chineses, conhecidos como "BrazenBamboo", exploraram uma vulnerabilidade zero-day no FortiClient, um cliente de VPN da Fortinet, utilizando um toolkit pós-exploração chamado "DeepData". A falha permite que os atacantes capturem credenciais armazenadas na memória após a autenticação do usuário no dispositivo VPN. A equipe de pesquisa Volexity identificou a vulnerabilidade em julho de 2024 e comunicou à Fortinet, que reconheceu o problema em 24 de julho, mas ainda não lançou uma correção ou atribuiu um número de CVE à falha. A ferramenta DeepData aproveita essa vulnerabilidade para extrair informações sensíveis, como nomes de usuários e senhas, enviando-as para os servidores dos invasores, o que pode permitir o acesso a redes corporativas. Os hackers utilizam outros tipos de malware em seus ataques, como o LightSpy e o DeepPost, ampliando suas capacidades de espionagem. Até que a Fortinet lance uma atualização de segurança, é aconselhável restringir o acesso à VPN e monitorar atividades de login incomuns.

VPN - Vai Pensando Nisso...Superfície de Ataque 🌎🌍🌏 Pesquisadores da AmberWolf revelaram vulnerabilidades em diversos clientes VPN, demonstrando como a superfície de ataque introduzida por essas ferramentas pode ser explorada. Usando uma ferramenta de código aberto chamada NachoVPN, eles mostraram ataques direcionados a produtos da Palo Alto Networks, SonicWall, Cisco e Ivanti. A ferramenta permite simular um servidor VPN desonesto para explorar falhas nos clientes que se conectam a ele. #empresas #pme #negocios #inovacao #transformacaodigital #resiliencia #malware #ransomware #impactos #incidente #riscocibernetico

Mandiant diz que nova falha da Fortinet foi explorada desde junho. Uma nova falha no Fortinet FortiManager chamada “FortiJump” e rastreada como CVE-2024-47575 foi explorada desde junho de 2024 em ataques de dia zero em mais de 50 servidores, de acordo com um novo relatório da Mandiant. Nos últimos dez dias, rumores de um FortiManager zero-day explorado ativamente têm circulado online depois que a Fortinet notificou clientes em particular em um aviso de segurança de notificação avançada. Hoje, a Fortinet finalmente divulgou a vulnerabilidade do FortiManager , afirmando que era uma falha de autenticação ausente na API “ FortiGate to FortiManager Protocol “ (FGFM) criada pela Fortinet, que permitia que invasores não autenticados executassem comandos no servidor e nos dispositivos FortiGate gerenciados. Os agentes de ameaças podem explorar a falha utilizando dispositivos FortiManager e FortiGate controlados pelo invasor com certificados válidos para se registrar em qualquer servidor FortiManager exposto. Depois que o dispositivo era conectado, mesmo que estivesse em um estado não autorizado, eles podiam explorar a falha para executar comandos de API no FortiManager e roubar dados de configuração sobre dispositivos gerenciados. A Mandiant relata que um agente de ameaça rastreado como UNC5820 vem explorando dispositivos FortiManager desde 27 de junho de 2024. “O UNC5820 encenou e exfiltrou os dados de configuração dos dispositivos FortiGate gerenciados pelo FortiManager explorado”, diz o novo relatório da Mandiant. “Esses dados contêm informações detalhadas de configuração dos dispositivos gerenciados, bem como dos usuários e suas senhas com hash FortiOS256.” #covilhacker #segurancasainformacao #segurancadainformação #informationsecurity #fortinet #fortigate #cyberattack #pentest #redteam #blueteam #ciso #mandiant #google

CIBERSEGURANÇA 23/12/2024 - Fortinet EMS Comprometido * Cibercriminosos Usam Fortinet EMS Comprometido para Instalar ScreenConnect e Roubar Dados. Uma falha crítica no Fortinet FortiClient EMS, agora corrigida, está sendo explorada por atores maliciosos em uma campanha cibernética para instalar ferramentas de acesso remoto, como AnyDesk e ScreenConnect. A vulnerabilidade, identificada como CVE-2023-48788, possui uma pontuação CVSS de 9.3 e consiste em uma falha de injeção de SQL que permite a execução de comandos ou códigos não autorizados por meio de pacotes de dados especialmente manipulados. A empresa de cibersegurança russa Kaspersky informou que, em outubro de 2024, um servidor Windows exposto à internet foi alvo de ataques utilizando essa vulnerabilidade como vetor de acesso inicial. Esse servidor, pertencente a uma empresa não identificada, apresentava duas portas abertas associadas ao FortiClient EMS, tecnologia usada para aplicar políticas corporativas a dispositivos e oferecer acesso seguro à VPN da Fortinet. Fonte: HackerSec

Que Sophoco! 🤯🤦🏻♂️ A Sophos identificou duas vulnerabilidades críticas em seus firewalls, ambas com impacto classificado em 9,8 na escala CVSS. A primeira falha (CVE-2024-12727) permite que invasores não autenticados executem SQL Injection, possibilitando acesso ao banco de dados do firewall. Em configurações específicas, isso pode levar à execução remota de código, comprometendo seriamente a segurança do sistema. Apesar de grave, a Sophos afirma que o problema afeta apenas 0,05% de seus firewalls. #empresas #pme #negocios #inovacao #transformacaodigital #resiliencia #malware #ransomware #impactos #incidente #riscocibernetico