Uma nova vulnerabilidade zero-day (CVE-2025-24472) foi identificada no FortiOS e FortiProxy, permitindo que invasores remotos obtenham privilégios de superadministrador através de requisições especialmente elaboradas ao módulo websocket do Node.js. Ela é semelhante a outra vulnerabilidade, identificada em janeiro no mesmo produto, a CVE-2024-55591.
Segundo a fabricante, a falha está sendo explorada ativamente por cibercriminosos. Ao explorar essa vulnerabilidade, um atacante pode enviar requisições maliciosas ao módulo websocket do Node.js, obtendo privilégios de superadministrador sem a necessidade de autenticação válida.
Versões afetadas
- FortiOS 7.0: 7.0.0 até 7.0.16 (corrigido na versão 7.0.17 ou superior).
- FortiProxy 7.2: 7.2.0 até 7.2.12 (corrigido na versão 7.2.13 ou superior).
- FortiProxy 7.0: 7.0.0 até 7.0.19 (corrigido na versão 7.0.20 ou superior).
As versões 7.6, 7.4 e 7.2 do FortiOS, bem como as versões 7.6, 7.4 e 7.2 do FortiProxy, não são afetadas.
A Fortinet disponibilizou, em seu site oficial, dois Indicadores de Comprometimento (IoCs) relacionados à entrada de logs que podem sinalizar exploração dessa vulnerabilidade. Para clientes sob nossa gerência, já adicionamos esses IoCs em nossas ferramentas de detecção e resposta, garantindo monitoramento contínuo e resposta imediata a qualquer atividade suspeita. Além disso, os clientes gerenciados pela SEK recebem automaticamente essa gama de IoCs nos dispositivos sob nossa administração, reforçando a proteção contra possíveis ataques.
Adicionalmente, nossa equipe também realizará threat hunting e busca retroativa nos ambientes dos clientes, analisando eventos passados em busca de qualquer indício de comprometimento relacionado a essa vulnerabilidade.
Ações recomendadas
- Atualize os sistemas FortiOS e FortiProxy para as versões corrigidas mencionadas acima.
- Revise os registros de log em busca de qualquer atividade anômala.
- Verifique e remova contas desconhecidas ou não autorizadas.
- Reforce a segurança dos acessos, ativando a autenticação multifator (MFA) para contas administrativas, restringindo o acesso à interface de gerenciamento a endereços IP confiáveis e desativando serviços e protocolos desnecessários para reduzir a superfície de ataque.
- Caso a atualização imediata não seja possível, aplique as medidas de mitigação recomendadas pela Fortinet em seu site oficial: https://www.fortiguard.com/psirt/FG-IR-24-535
A SEK segue monitorando o caso e mantendo nossos clientes e parceiros informados. Em caso de dúvidas, não hesite em entrar em contato.
