Pesquisadores de cibersegurança estão investigando uma nova campanha de ataques direcionada a dispositivos Fortinet FortiGate, explorando interfaces de gerenciamento expostas na internet. Esses ataques, iniciados em novembro de 2024, envolvem invasores obtendo acesso administrativo não autorizado, modificando configurações críticas e criando contas de superadministradores, o que coloca redes corporativas em grave risco. Há suspeitas de que a campanha esteja vinculada à exploração de uma vulnerabilidade Zero Day ainda não confirmada, intensificando a gravidade da ameaça.
As versões de firmware impactadas variam entre 7.0.14 e 7.0.16, lançadas entre fevereiro e outubro de 2024. A campanha foi dividida em quatro fases distintas, começando pelo reconhecimento e escaneamento de vulnerabilidades, seguido de alterações de configuração e movimentos laterais dentro das redes comprometidas. Os invasores destacaram-se pelo uso frequente da interface jsconsole, acessada de endereços IP incomuns, o que ajudou na identificação das atividades maliciosas.
Entre as ações observadas, os atacantes alteraram configurações de saída, criaram contas de superadministradores e adicionaram até seis novas contas de usuários locais por dispositivo. Essas contas foram vinculadas a grupos pré-existentes com acesso a SSL VPN. Em alguns casos, contas existentes foram sequestradas e inseridas nesses grupos. Além disso, novos portais de SSL VPN foram configurados, permitindo que os invasores estabelecessem túneis VPN para os dispositivos afetados, com tráfego originado de provedores de VPS.
A campanha culminou no uso do acesso VPN para extrair credenciais e realizar movimentos laterais na rede, utilizando a técnica DCSync. Apesar disso, os objetivos finais dos atacantes ainda são desconhecidos, já que eles foram removidos dos ambientes comprometidos antes de avançarem para a próxima fase. A Fortinet confirmou a existência de uma vulnerabilidade zero-day crítica, catalogada como CVE-2024-55591, que está sendo explorada para comprometer firewalls e invadir redes corporativas.
