A Fortinet divulgou uma nova falha de segurança crítica no FortiOS SSL VPN, que, segundo a empresa, provavelmente está sendo explorada ativamente. A vulnerabilidade, identificada como CVE-2024-21762 e com uma pontuação CVSS de 9.6, permite a execução de código e comandos arbitrários.

“Uma vulnerabilidade de escrita fora dos limites [CWE-787] no FortiOS pode permitir que um atacante remoto não autenticado execute código ou comando arbitrário por meio de solicitações HTTP especialmente elaboradas”, disse a empresa em um boletim divulgado na quinta-feira.

A Fortinet também reconheceu que o problema está “potencialmente sendo explorado ativamente”, sem fornecer detalhes adicionais sobre como está sendo armamentizado e por quem. Este desenvolvimento ocorre enquanto a Fortinet emitiu patches para CVE-2024-23108 e CVE-2024-23109, impactando o supervisor FortiSIEM, permitindo que um atacante remoto não autenticado execute comandos não autorizados por meio de solicitações de API elaboradas.

Na mesma semana, o governo dos Países Baixos revelou que uma rede de computadores usada pelas forças armadas foi infiltrada por atores patrocinados pelo estado chinês, explorando falhas conhecidas nos dispositivos Fortinet FortiGate para entregar um backdoor chamado COATHANGER.