A Fortinet emitiu na segunda-feira (12), patches de emergência para uma falha grave de segurança que afeta seu produto FortiOS SSL-VPN, que disse estar sendo ativamente explorado.

Rastreado como CVE-2022-42475 (pontuação CVSS: 9,3), o bug crítico está relacionado a uma vulnerabilidade de estouro de buffer baseada em heap que pode permitir que um invasor não autenticado execute código arbitrário por meio de solicitações especialmente criadas.

A empresa disse que está “ciente de um caso em que essa vulnerabilidade foi explorada”, pedindo aos clientes que se movam rapidamente para aplicar as atualizações.

Os patches estão disponíveis nas versões 7.2.3, 7.0.9, 6.4.11 e 6.2.12 do FortiOS, bem como nas versões 7.0.8, 6.4.10, 6.2.12 e 6.0.15 do FortiOS-6K7K.

A empresa americana de segurança de rede também publicou indicadores de comprometimento (IoCs) associados às tentativas de exploração, incluindo os endereços IP e os artefatos presentes no sistema de arquivos após um ataque bem-sucedido.