Não é de hoje que alertamos, segurança não é só sobre impedir o acesso de fora. Às vezes, a brecha está no centro da sua infraestrutura, num comando mal validado e numa permissão mal configurada. E agora, foi a vez da Fortinet admitir o vacilo.
A vulnerabilidade CVE-2024-45325, descoberta nos appliances FortiDDoS-F, permite que usuários com acesso privilegiado à interface de linha de comando (CLI) executem comandos não autorizados diretamente no sistema operacional. Em outras palavras, quem já está dentro pode fazer muito mais do que deveria.
Execução de comandos e o impacto silencioso
O problema é técnico, mas a consequência é bem simples, a falha permite injeção de comandos no sistema operacional via CLI. Isso significa que, com os parâmetros certos, um atacante pode burlar as proteções e assumir o controle do equipamento com impacto direto na confidencialidade, integridade e disponibilidade da rede.
Ah, e tudo isso em um equipamento que deveria te proteger contra ataques DDoS. Ironias da segurança corporativa.
Apesar do CVSS (sistema de pontuação de vulnerabilidades) classificar o problema com uma nota 6.5 tecnicamente “média” o cenário muda de figura quando lembramos que esses equipamentos ficam no centro da proteção contra ataques de negação de serviço. Se o FortiDDoS cai, a porta da frente está aberta e o alarme desligado.
Quem está vulnerável?
O impacto atinge múltiplas versões do FortiDDoS-F. Usuários da versão 7.0.0 até 7.0.2 devem atualizar imediatamente para a versão 7.0.3 ou superior. Já quem ainda roda as versões entre 6.1 e 6.6 terá mais trabalho: é preciso migrar completamente para uma release já corrigida.
A versão 7.2, curiosamente, saiu ilesa talvez fruto de um ciclo de desenvolvimento mais alinhado com as boas práticas, ou talvez só sorte mesmo.
O bug que veio de dentro
Diferente dos vazamentos frequentes que surgem da exploração de código em produção ou de pesquisa externa, essa vulnerabilidade foi encontrada internamente por Théo Leleu, da própria equipe de segurança de produto da Fortinet. Ponto positivo pela transparência e pela prevenção antes que alguém com más intenções encontrasse primeiro.
Segundo a Fortinet, o problema foi causado por uma neutralização inadequada de elementos especiais nos comandos do sistema operacional o famoso “não sanitizamos direito os parâmetros da CLI”.
O que fazer agora?
Se você administra algum FortiDDoS-F dentro do seu ambiente, o plano de ação é direto ao ponto, verifique a versão e atualize imediatamente. Os appliances desempenham um papel crucial na defesa contra DDoS e, nesse contexto, permitir que alguém execute comandos diretamente no sistema equivale a deixar o cofre aberto para quem já tem a chave da porta.
Mesmo que o ataque exija acesso privilegiado, basta um descuido, uma credencial vazada ou uma falha de segmentação para que o problema escale rapidamente.
