A Fortinet, uma das maiores fornecedoras de soluções de segurança para redes, está sob forte escrutínio devido à forma como lidou com uma vulnerabilidade crítica recentemente descoberta. Apesar de relatos de que a falha está a ser ativamente explorada por atacantes para executar código malicioso em servidores de organizações sensíveis, a empresa manteve silêncio durante mais de uma semana, sem emitir qualquer comunicado público ou detalhes técnicos claros sobre a falha.
A vulnerabilidade, presente em várias versões do software FortiManager, uma ferramenta essencial para gerir o tráfego e dispositivos numa rede, permite que cibercriminosos registem dispositivos não autorizados, como firewalls FortiGate comprometidos, no sistema de gestão de uma organização. A falha afeta versões do FortiManager anteriores à 7.6.1, e há relatos de que a versão cloud também pode estar vulnerável. A empresa enviou comunicações sobre atualizações a alguns administradores, mas muitos outros afirmam não ter recebido qualquer aviso.
Exploração ativa e falta de transparência
Desde o dia 13 de outubro, a falha tem sido discutida em fóruns públicos, incluindo no Reddit, onde utilizadores detalharam como a vulnerabilidade poderia ser explorada. De acordo com um investigador independente, Kevin Beaumont, o problema está relacionado com uma configuração padrão no FortiManager, que permite que dispositivos com números de série desconhecidos se registrem automaticamente no sistema. Ao roubar certificados digitais válidos de dispositivos FortiGate, os atacantes podem ganhar acesso às redes internas das organizações, sem a necessidade de validações adicionais.
O que torna esta falha particularmente grave é a capacidade dos cibercriminosos de explorar o protocolo de comunicação entre os firewalls FortiGate e o FortiManager, o FGFM, que utiliza a porta 541. Pesquisas na ferramenta de busca Shodan revelam que mais de 60.000 dispositivos estão expostos à internet e vulneráveis a este cibercriminoso.
Kevin Beaumont destacou no site arstechnica.com, que os atacantes têm utilizado esta vulnerabilidade desde o início do ano, e há indicações de que hackers patrocinados pelo Estado chinês já conseguiram explorar a falha para entrar em redes internas de organizações sensíveis. Este é um dos casos mais recentes em que vulnerabilidades zero-day estão a ser exploradas antes de serem oficialmente divulgadas, criando uma enorme lacuna na proteção de redes corporativas e governamentais.
Um histórico de falta de comunicação
A abordagem da Fortinet em relação a esta vulnerabilidade reflete um padrão preocupante. A empresa tem um histórico de “corrigir silenciosamente” falhas críticas de segurança, divulgando-as apenas depois de terem sido amplamente exploradas. Este tipo de prática, conhecida como “segurança por obscuridade”, contraria os princípios de transparência que muitos especialistas em segurança defendem como essenciais para a proteção eficaz contra ciberataques.
Em maio deste ano, Carl Windsor, diretor de segurança da informação da Fortinet, afirmou que a empresa tinha um compromisso com a “transparência radical responsável”, referindo-se a práticas internacionais de divulgação de vulnerabilidades. No entanto, este compromisso tem sido colocado em causa pela forma como a empresa lidou com esta falha recente, que ainda não foi associada a um código CVE (Common Vulnerabilities and Exposures), impedindo a monitorização adequada por parte das equipas de segurança.
Riscos para redes e gestão de incidentes
A vulnerabilidade permite que, uma vez dentro do FortiManager, um cibercriminoso tenha o controlo total sobre os firewalls e dispositivos da rede, podendo alterar configurações, aceder a credenciais e explorar as redes downstream, muitas vezes geridas por fornecedores de serviços geridos (MSPs). Este controlo oferece aos cibercriminosos um acesso sem precedentes a redes altamente protegidas, e a falta de uma comunicação clara por parte da Fortinet aumenta os riscos de exploração contínua.
Para além disso, os esforços de mitigação por parte das equipas de segurança são dificultados pelos erros no portal de suporte da Fortinet, que tem apresentado falhas de conexão, impedindo os utilizadores de acederem a informações cruciais para se protegerem da vulnerabilidade.
O caminho à frente
À medida que mais detalhes sobre esta falha se tornam públicos através de fóruns e redes sociais, a pressão sobre a Fortinet para emitir uma comunicação clara e detalhada cresce. As organizações que utilizam o FortiManager são aconselhadas a atualizar imediatamente para as versões corrigidas e a reverem as configurações de segurança para impedir o registo de dispositivos não autorizados.
A falta de uma resposta robusta e pública pode ter repercussões profundas na confiança dos clientes da Fortinet, especialmente em setores críticos como o financeiro, onde a cibersegurança é vital para a continuidade das operações e proteção de dados sensíveis.
O incidente coloca em evidência a necessidade de maior transparência na gestão de vulnerabilidades críticas, um tema que continuará a moldar o debate sobre cibersegurança nos próximos anos.