HomeServer.pt – Informática e Tecnologia

AI Artigos Campanhas Dispositivos Móveis Hardware Notícias Software Tecnologia Tutoriais Linux Tutoriais Windows

🚨 ALERTA CRÍTICO: Hackers continuam a aceder a VPNs FortiGate mesmo após atualizações de segurança! Descubra como estão a contornar as defesas! 🚨

Home Server

A Fortinet acaba de lançar um alerta urgente que está a abalar o mundo da cibersegurança: cibercriminosos altamente sofisticados estão a manter acesso clandestino a dispositivos FortiGate VPN, mesmo após estes terem sido atualizados com as mais recentes correções de segurança. E o mais chocante? Estão a utilizar uma técnica engenhosa com symlinks que lhes permite aceder ao sistema de ficheiros – de forma discreta e persistente.

Ao longo desta semana, foram enviados e-mails críticos e marcados como “urgente” para clientes da Fortinet, com o título alarmante:
🛑 “Notificação de compromisso de dispositivo – FortiGate / FortiOS – Ação urgente requerida” 🛑
Esta comunicação, classificada como TLP:AMBER+STRICT, deixa claro: os dispositivos FortiGate/FortiOS foram comprometidos, com base em dados de telemetria recolhidos pelos sistemas FortiGuard.

“Este problema não está relacionado com uma nova vulnerabilidade. Trata-se de ficheiros maliciosos deixados por atacantes após exploração de falhas anteriormente conhecidas”, pode ler-se no comunicado, onde são referidas vulnerabilidades como CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762.

Após contacto da equipa da BleepingComputer, a Fortinet publicou um alerta oficial detalhando a técnica utilizada: os atacantes, ao explorarem vulnerabilidades antigas, criaram links simbólicos na pasta de ficheiros de idioma do SSL-VPN, apontando diretamente para o sistema de ficheiros raiz. Resultado? Acesso contínuo em modo de leitura – mesmo depois da falha de segurança original ter sido corrigida.

💬 “Um cibercriminoso utilizou vulnerabilidades conhecidas para manter acesso a dispositivos FortiGate vulneráveis. Foi criado um link simbólico entre o sistema de ficheiros do utilizador e o sistema de ficheiros raiz, alojado na pasta responsável por servir os idiomas do SSL-VPN. Esta alteração ocorreu de forma discreta e passou despercebida,” explicou a Fortinet.

Ou seja, mesmo após os dispositivos serem atualizados com versões mais recentes do FortiOS, o link simbólico malicioso pode permanecer ativo, proporcionando ao atacante acesso contínuo aos ficheiros internos do dispositivo, incluindo configurações sensíveis.

📅 Ataques massivos desde o início de 2023: A verdade começa agora a vir ao de cima!

Embora a Fortinet não tenha revelado datas concretas dos ataques, a CERT-FR (equipa nacional de resposta a emergências cibernéticas de França), pertencente à ANSSI, revelou que esta técnica tem sido utilizada em larga escala desde o início de 2023.

🗣️ “A CERT-FR tem conhecimento de uma campanha massiva com inúmeros dispositivos comprometidos em França. Durante operações de resposta a incidentes, foi identificado que estas intrusões ocorrem desde o início de 2023,” relatou a entidade.

A gravidade da situação levou até a CISA (Agência de Cibersegurança dos EUA) a intervir, pedindo a todos os administradores de rede que reportem imediatamente qualquer atividade suspeita ou incidentes relacionados com Fortinet para o seu Centro de Operações 24/7 através do e-mail [email protected] ou pelo telefone (888) 282-0870.

🛠️ O que fazer AGORA: Fortinet exige ação imediata!

Nos e-mails enviados recentemente, a Fortinet recomenda com urgência que todos os clientes atualizem os seus firewalls FortiGuard para as versões mais recentes do FortiOS:

  • 🔄 7.6.2
  • 🔄 7.4.7
  • 🔄 7.2.11
  • 🔄 7.0.17
  • 🔄 6.4.16

Estas versões eliminam os ficheiros persistentes utilizados pelos atacantes para manter o acesso indesejado.

Além disso, os administradores devem:

  • 🔍 Rever imediatamente todas as configurações dos dispositivos
  • 🛡️ Verificar alterações inesperadas
  • 🔐 Redefinir credenciais possivelmente comprometidas (conforme instruções fornecidas neste documento de suporte da Fortinet).

A CERT-FR vai ainda mais longe, recomendando medidas drásticas para erradicar por completo a ameaça:

  • ✂️ Isolar imediatamente os dispositivos VPN comprometidos da rede
  • 🔑 Reinicializar todos os segredos digitais (palavras-passe, certificados, tokens de identidade, chaves criptográficas, etc.)
  • 🧭 Investigar potenciais movimentos laterais na rede interna

⚠️ Conclusão: uma ameaça invisível e persistente que pode estar ativa na sua infraestrutura!

Este caso revela um novo nível de sofisticação nas técnicas de persistência utilizadas por atacantes cibernéticos. Mesmo com os sistemas atualizados, as portas podem continuar abertas – de forma silenciosa, mas perigosa.

A pergunta é: a sua empresa já atualizou o FortiOS e inspecionou minuciosamente os dispositivos? Se não, o tempo está a contar…

🔐 Proteja-se agora. O cibercrime não dorme.

Artigos Relacionados