Em um desenvolvimento preocupante para profissionais de segurança de rede em todo o mundo, Fortinet emitiu um alerta detalhado de que agentes de ameaças persistentes avançadas (APT) têm explorado vulnerabilidades previamente divulgadas em dispositivos FortiGate para manter acesso de longo prazo a redes comprometidas, mesmo após a aplicação de patches.
Esta revelação assustadora ressalta uma preocupação de longa data em segurança cibernética: a aplicação de patches é apenas uma peça do quebra-cabeça da defesa. De acordo com o relatório de ameaças da Fortinet de abril de 2025 e um resumo da The Hacker News, os invasores estão aproveitando vulnerabilidades como CVE-2022-42475, um bug crítico de estouro de buffer baseado em heap em VPNs SSL, para implantar malware e garantir acesso sustentado.
Da Exploração à Persistência
A equipe de inteligência de ameaças da Fortinet documentou uma operação em várias etapas na qual agentes maliciosos obtêm acesso inicial por meio de firmware desatualizado e, em seguida, implantam scripts de shell de nível raiz, shells da web e outros mecanismos de persistência em firewalls FortiGate. Essas não são operações de emergência. Estamos falando de grupos de ameaças furtivos e altamente qualificados, com as ferramentas e a paciência necessárias para se manterem discretos até serem reativados.
Uma vez lá dentro, esses invasores não estão apenas farejando — eles se movem lateralmente pelas redes, coletando credenciais e migrando para ativos internos mais valiosos. Em alguns casos, o malware persiste mesmo após a atualização do firmware do dispositivo, criando uma perigosa falsa sensação de segurança para os administradores de TI que pensavam ter neutralizado a ameaça.
TTPs avançados em exibição
Esta campanha não se destaca apenas pelo seu ponto de entrada inicial. São as táticas, técnicas e procedimentos pós-exploração (TTPs) dos agentes de ameaças que a elevam a um patamar totalmente novo. A análise da Fortinet revela o uso de:
- Portas traseiras personalizadas que se misturam com arquivos de sistema legítimos
- Daemons SSH adulterados para habilitar o login silencioso sem acionar logs
- Técnicas sem arquivo para manter a discrição e a persistência
Isso não é teórico. A Fortinet compartilhou Indicadores de Compromisso (IoCs) e rastros de malware para ajudar os defensores a descobrir ameaças latentes em suas redes.
O que você deve fazer agora
Se você gerencia dispositivos FortiGate, não atualize o firmware e pronto. A Fortinet recomenda que os usuários realizem análises forenses completas e implementem operações de busca de ameaças em toda a rede. Seus alertas incluem IoCs, nomes de arquivos suspeitos e orientações sobre atividade de shell reverso.
Além disso, monitore o tráfego de saída, inspecione logs em busca de acesso root não autorizado e aplique MFA sempre que possível. Não se trata apenas de corrigir vulnerabilidades, mas também de encontrar e remover invasores digitais que possam já estar dentro da sua infraestrutura.
