Ciência e tecnologia

Quando os patches não são suficientes

Posted on Author Andressa Almeida Comentários fechados em Quando os patches não são suficientes


briefing executivo

O que aconteceu:

Um backdoor furtivo e persistente foi descoberto em mais de 16.000 firewalls Fortinet. Esta não é uma vulnerabilidade nova – é uma situação em que um invasor explora uma parte sutil do sistema (a pasta do idioma) para manter o acesso não autorizado, mesmo que a vulnerabilidade original tenha sido corrigida.

o que isso significa:

Dispositivos considerados “seguros” ainda podem ser comprometidos. Um invasor pode obter acesso somente leitura a arquivos confidenciais do sistema por meio de links simbólicos colocados no sistema de arquivos, ignorando completamente a autenticação e detecção tradicionais. Mesmo que um dispositivo tenha sido corrigido meses atrás, um invasor ainda pode estar em posição.

Riscos de negócios:

  • Expor perfis confidenciais (incluindo dados de VPN, administradores e usuários)
  • Risco de reputação se a infraestrutura voltada para o cliente for comprometida
  • Os problemas de conformidade dependem do setor (HIPAA, PCI, etc.)
  • Perda de controle sobre a configuração do dispositivo e limites de confiança

O que estamos fazendo:

Implementamos um plano de correção direcionado que incluiu patches de firmware, redefinições de credenciais, auditorias de sistema de arquivos e atualizações de controle de acesso. Também incorporamos controles de longo prazo para monitorar estratégias de persistência semelhantes no futuro.

Principais conclusões da liderança:

Não se trata de um fornecedor específico ou de um CVE específico. Isso nos lembra que a aplicação de patches é apenas uma etapa do modelo operacional de segurança. Estamos atualizando nossos processos para incluir detecção contínua de ameaças em todos os dispositivos de rede – porque os invasores não estão esperando pelo próximo ataque CVE.

o que aconteceu

Os invasores exploram o firewall Fortinet plantando links simbólicos em pastas de idiomas. Esses links apontam para arquivos confidenciais no nível raiz, que podem ser acessados ​​por meio da interface web SSL-VPN.

Resultado: o invasor obteve acesso somente leitura aos dados do sistema, sem credenciais e alertas. Mesmo após os patches de firmware, esse backdoor ainda existe – a menos que você saiba como removê-lo.

Versão FortiOS com backdoor removido:

  • 7.6.2
  • 7.4.7
  • 7.2.11
  • 7.0.17
  • 6.4.16

Se você estiver executando uma versão mais antiga, comprometa-se e aja de acordo.

verdadeira lição

Tendemos a pensar no patch como uma redefinição completa. Não é. Os invasores de hoje são persistentes. Em vez de apenas se enterrarem e se moverem lateralmente, eles se enterram silenciosamente e ficam.

O verdadeiro problema aqui não é uma falha técnica. Este é o ponto cego da confiança operacional: a suposição de que, uma vez corrigidos, estaremos prontos. Essa suposição não é mais segura.

Soluções Operacionais: Manual de Operação com Um Clique

Manual: Reparo de backdoor Fortinet Symlink

Propósito:

Corrigida uma vulnerabilidade de backdoor de link simbólico que afetava dispositivos FortiGate. Isso inclui aplicação de patches, auditoria, higiene de credenciais e confirmação da remoção de qualquer acesso não autorizado contínuo.

1. Determine o escopo do seu ambiente

  • Identifique todos os dispositivos Fortinet (físicos ou virtuais) em uso.
  • Faça um inventário de todas as versões de firmware.
  • Verifique quais dispositivos têm SSL-VPN habilitado.

2. Correção de firmware

Patchado para as seguintes versões mínimas:

  • Ford iOS 7.6.2
  • Ford iOS 7.4.7
  • Ford iOS 7.2.11
  • Ford iOS 7.0.17
  • Ford iOS 6.4.16

etapa:

  • Baixe o firmware do Portal de Suporte Fortinet.
  • Agende o tempo de inatividade ou janelas de atualização contínuas.
  • Faça backup da configuração antes de aplicar as atualizações.
  • Aplique atualizações de firmware via GUI ou CLI.

3. Verificação pós-patch

Após atualização:

  • Use Obter status do sistema para confirmar a versão.
  • Se estiver usando, verifique se o SSL-VPN está funcionando corretamente.
  • Execute diagnostic sys flash list para confirmar a remoção de links simbólicos não autorizados (o script Fortinet incluído no novo firmware deve limpar isso automaticamente).

4. Higiene de credenciais e sessões

  • Força uma redefinição de senha para todas as contas de administrador.
  • Revogue e emita novamente quaisquer credenciais de usuário local armazenadas no FortiGate.
  • Invalide todas as sessões VPN atuais.

5. Revisão do sistema e configuração

  • Veja uma lista de contas de administrador para usuários desconhecidos.
  • Verifique o perfil atual (mostrando a configuração completa) em busca de alterações inesperadas.
  • Pesquise no sistema de arquivos os links simbólicos restantes (opcional):
find / -type l -ls | grep -v "/usr"

6. Monitoramento e Detecção

  • Habilite o registro completo no SSL-VPN e na interface de gerenciamento.
  • Exporte logs para análise e retenção.
  • Integre com SIEM para alertas:
    • Login de administrador anormal
    • Acesse recursos de rede incomuns
    • Acesso VPN fora da localização geográfica pretendida

7. Fortalecer SSL-VPN

  • Limite a exposição externa (use listas de permissões de IP ou cercas geográficas).
  • Todo acesso VPN requer MFA.
  • Desative o acesso ao modo de rede, a menos que seja absolutamente necessário.
  • Feche os componentes da web não utilizados (por exemplo, temas, pacotes de idiomas).

Resumo do controle de alterações

Tipo de alteração: Patches de segurança
Sistemas afetados: Unidade FortiGate executando SSL-VPN
Influência: Breve interrupção durante a atualização do firmware
Nível de risco: médio
Alterar proprietário: (inserir nome/dados de contato)
Janela de alteração: (inserir hora)
Plano de backup: Veja abaixo
Plano de teste: Confirme a versão do firmware, verifique o acesso VPN e execute a revisão pós-patch

plano de recuperação

Se a atualização falhar:

  1. Use o acesso ao console para reinicializar a partição de firmware anterior.
    • Execute: exec set-next-reboot Primário ou secundário, dependendo da versão atualizada.
  2. Restaure a configuração de backup (pré-patch).
  3. Desative temporariamente o SSL-VPN para evitar exposição enquanto o problema é investigado.
  4. Notifique atualizações de segurança da informação e suporte por meio do Fortinet.

pensamentos finais

Este não é um patch perdido. Falha em presumir que os atacantes jogarão limpo.

Se você está apenas validando que algo é “frágil”, você está perdendo o panorama geral. Você precisa perguntar: Alguém já está aqui?

Segurança hoje significa diminuir o espaço em que os invasores podem operar e presumir que eles são inteligentes o suficiente para explorar as bordas do seu sistema para atacá-lo.

O post Quando os patches não são suficientes apareceu primeiro no Gigaom.



Link da fonte

Andressa Almeida

Related Articles
Ciência e tecnologia

Este diamante Herkimer não é um diamante verdadeiro

Posted on Author Edna Santos

Os diamantes Herkimer oferecem uma rara combinação de clareza, forma e acessibilidade. Muitos espécimes são incolores, embora alguns pareçam ligeiramente esfumaçados. Os melhores exibem clareza excepcional, faces suaves e pontas duplas pronunciadas. O tamanho também afeta o valor. Pedras pequenas podem ser vendidas por preços modestos, enquanto grandes quantidades de cristais limpos ou grandes aglomerados […]
Ciência e tecnologia

‘Sem edição de colecionador?’: À medida que as pré-encomendas de ‘GTA 6’ forem ao ar, a Rockstar poderá enfrentar um escrutínio se fizer a mesma coisa que ‘Red Dead Redemption 2’

Posted on Author Andressa Almeida

O dia que esperávamos há muitos anos finalmente chegou. A Rockstar Games finalmente revelou grande roubo de automóveis 6 As pré-encomendas estão disponíveis (spoiler: está acontecendo agora), junto com informações de preços e uma tonelada de novas capturas de tela, mas os fãs destacaram uma omissão notável. Nos comentários no post do TikTok anunciando a […]
Ciência e tecnologia

Big Shop aparentemente revela acidentalmente detalhes importantes sobre o mundo do jogo, NPCs e recursos de jogo muito cedo

Posted on Author Davi Costa

Agora existem alguns novos detalhes sobre GTA 6 da Amazon. A Rockstar não deixa escapar uma única palavra há anos quando se trata de jogabilidade. É ainda mais estranho que agora, entre todas as coisas, o varejo online tenha uma página de produto explicando o que estamos fazendo. GTA 6 Supostamente esperado. o gatilho é […]