48 3052-8500

CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762: Fortinet alerta para persistência de acesso após aplicação de correções - OSTEC | Segurança digital de resultados

CVE 2min de Leitura - 16 de junho de 2025

CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762: Fortinet alerta para persistência de acesso após aplicação de correções

CVE-2022-42475-CVE-2023-27997-CVE-2024-21762

This post is also available in: Português

Mesmo após a aplicação de correções, invasores continuam mantendo acesso persistente a appliances FortiGate por meio de técnicas avançadas que envolvem o abuso de vulnerabilidades em SSL-VPN e o uso de symlinks para criar backdoors. A Fortinet publicou um alerta reforçando que as falhas CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 são alvo de ataques direcionados e altamente sofisticados. As três vulnerabilidades compartilham uma mesma pontuação CVSS: 9.8 (crítica).

Produtos afetados

As falhas afetam principalmente o FortiOS, sistema operacional utilizado em appliances FortiGate, e exploram funcionalidades do SSL-VPN. Este componente é frequentemente utilizado para acesso remoto, o que o torna um vetor atrativo para atacantes.

As explorações recentes foram atribuídas a grupos avançados e persistentes (APT), e demonstram que, mesmo após a aplicação dos patches de segurança, há risco de comprometimento contínuo. Isso ocorre porque os atores maliciosos aproveitam o tempo entre a exploração inicial e a aplicação da correção para instalar mecanismos de persistência, muitas vezes por meio de symlinks maliciosos e scripts personalizados.

Detalhes das vulnerabilidades

  • CVE-2022-42475: Essa falha é um heap-based buffer overflow no componente sslvpnd, que pode permitir execução remota de código (RCE). A Fortinet confirmou que ela já foi explorada em ataques direcionados, em especial por grupos APT. A falha afeta versões anteriores ao FortiOS 7.0.7 e 7.2.2.
  • CVE-2023-27997: Popularmente associada à campanha Volt Typhoon, essa vulnerabilidade também envolve um heap-based buffer overflow explorável via SSL-VPN. Permite execução de código sem autenticação e pode ser explorada remotamente. A Fortinet afirma que a exploração ocorre em sessões de handshake TLS, o que torna os ataques discretos e difíceis de detectar.
  • CVE-2024-21762: Essa falha é a mais recente e também explora o sslvpnd, com o mesmo tipo de vulnerabilidade: buffer overflow. A CVE-2024-21762 foi adicionada ao KEV Catalog da CISA, o que reforça sua exploração ativa. Assim como as anteriores, permite execução remota de código sem autenticação prévia.

Persistência pós-correção: o papel dos symlinks

Um dos aspectos mais preocupantes revelados pela Fortinet é que os invasores vêm utilizando symlinks (link simbólico) maliciosos como parte da cadeia de persistência. Mesmo após a correção das falhas com atualizações de firmware, os sistemas permanecem vulneráveis caso não sejam feitas verificações adicionais.

Esses symlinks costumam apontar para scripts ou binários que concedem ao invasor controle remoto ou privilégios elevados. Em alguns casos, também foram observadas alterações em arquivos de sistema e a criação de serviços falsos para restabelecer a comunicação com o C2 (command and control).

Gravidade e impacto das falhas

Todas as três vulnerabilidades possuem pontuação CVSS de 9.8, o que indica um risco crítico para os ambientes afetados. O potencial de exploração remota, sem necessidade de autenticação, amplia ainda mais o impacto. Um atacante pode assumir o controle completo do dispositivo FortiGate. A partir disso, é possível realizar movimentação lateral na rede, coletar credenciais, exfiltrar dados e estabelecer persistência por tempo indeterminado, mesmo após a aplicação de atualizações. A gravidade é acentuada pela natureza furtiva da exploração, especialmente nos casos em que o tráfego malicioso se mistura a sessões legítimas de VPN.

Recomendação e mitigação

Embora a aplicação dos patchs disponibilizados pela Fortinet seja uma medida essencial, ela não garante a remoção de acessos já estabelecidos por invasores. Por isso, é fundamental realizar uma análise completa do ambiente, verificando a existência de symlinks suspeitos, arquivos modificados e serviços desconhecidos.

A Fortinet recomenda que os administradores validem a integridade dos binários, monitorem os registros do sslvpnd em busca de comportamentos anômalos e, quando necessário, realizem uma reinstalação limpa do sistema.

Também é importante revisar todas as credenciais administrativas utilizadas no ambiente e restaurar as configurações a partir de backups confiáveis. Em casos confirmados de comprometimento, a substituição completa do dispositivo pode ser a abordagem mais segura.

This post is also available in: Português

CVE-2025-37093: Falha em mecanismo de autenticação compromete segurança do HPE StoreOnce

Postagem anterior