A Fortinet, uma renomada multinacional no ramo de softwares e produtos voltados para cibersegurança, enfrenta ataques digitais constantes que se arrastam há cinco anos. Os ataques têm como alvo o FortiOS, sistema operacional da empresa, impactando diretamente a funcionalidade de autenticação de dois fatores (2FA) e os firewalls, que são componentes críticos das soluções de segurança da Fortinet.
Os ataques exploram uma vulnerabilidade inicialmente identificada na VPN FortiGate. Essa falha permite que hackers iniciem sessões comprometidas em sistemas que ainda não foram atualizados. Em um cenário alarmante, os cibercriminosos conseguem acessar contas legítimas burlando a necessidade de ativar o segundo fator de autenticação, um processo que deveria garantir maior segurança ao ser executado pelo aplicativo FortiToken.
O método usado pelos invasores é surpreendentemente simples. Eles asseguram o acesso apenas ao modificar a primeira letra do nome de usuário para maiúscula, conseguindo, assim, burlar o sistema. Esse tipo de exploração não requer operações complexas, demonstrando uma brecha significativa na segurança dos sistemas da Fortinet.
A falha está particularmente relacionada a configurações inadequadas do sistema de autenticação de dois fatores quando o recurso está marcado como “user local”, mas com o método de autenticação configurado para ser realizado de forma remota. O problema reside na inconsistência no tratamento das letras maiúsculas e minúsculas durante a verificação entre os sistemas local e remoto.
Embora essa vulnerabilidade seja conhecida há muito tempo, a Fortinet tem lançado diversas atualizações para promover correções e aconselhado especialistas a ajustar certas configurações, como a desativação da diferenciação entre maiúsculas e minúsculas durante o login. No entanto, essas medidas ainda não impedem que os ataques persistam, continuando a causar preocupações para a multinacional.
Um dos aspectos que mais contribuem para que a exploração persista é um protocolo de aplicação aberto conhecido como LDAP, usado nos sistemas da Fortinet. Má configurações desse protocolo possibilitam que seja indevidamente manipulado, exacerbando as falhas de autenticação. Em abril de 2021, autoridades legais já haviam alertado a Fortinet sobre a possibilidade de que hackers estivessem usando o FortiOS para atacar sistemas governamentais, especialmente explorando a vulnerabilidade do 2FA.
A situação é agravada pela frequência com que ocorrem casos de vulnerabilidades de dia zero no sistema da Fortinet, onde falhas ainda desconhecidas são continuamente exploradas por hackers. Essa realidade representa um desafio contínuo para a empresa, que precisa reforçar suas estratégias para mitigar riscos e proteger seus usuários.
