O Federal Bureau of Investigation (FBI) e a CISA (Cybersecurity and Infrastructure Security Agency) lançaram um Joint Cybersecurity Advisory (CSA) para alertar os usuários e administradores sobre a probabilidade de que agentes de ameaças persistentes avançadas (APT) estejam explorando ativamente vulnerabilidades conhecidas do Fortinet FortiOS CVE-2018-13379, CVE- 2020-12812 e CVE-2019-5591. Os atacantes da APT podem usar essas vulnerabilidades ou outras técnicas de exploração comuns para obter acesso inicial a vários serviços governamentais, comerciais e de tecnologia. Obter o acesso inicial pré-posiciona os atacantes do APT para conduzir ataques futuros.
A CISA incentiva os usuários e administradores a revisar o CSA conjunto AA21-092A: Atacantes APT exploram vulnerabilidades para obter acesso inicial para ataques futuros e implementar as mitigações recomendadas.
Mitigações
As seguintes recomendações devem ser levadas em consideração para mitigação dos ataques:
- Corrigir imediatamente os CVEs 2018-13379, 2020-12812 e 2019-5591.
- Se o FortiOS não for usado pela sua organização, adicione os principais arquivos de artefato usados pelo FortiOS à lista de denylist de execução da sua organização. Qualquer tentativa de instalar ou executar este programa e seus arquivos associados deve ser evitada.
- Faça backups regulares de dados e proteja com senha as cópias offline. Certifique-se de que as cópias dos dados críticos não estejam acessíveis para modificação ou exclusão do sistema primário onde os dados residem.
- Implemente uma segmentação da rede.
- Solicitar credenciais de administrador para instalar o software.
- Implementar um plano de recuperação para restaurar dados confidenciais ou proprietários de um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento, nuvem).
- Instale atualizações/patches de sistemas operacionais, software e firmware assim que as mesmas forem lançadas.
- Use autenticação multifator sempre que possível.
- Aplique políticas de senhas para sistemas e contas de rede e evite reutilizar senhas para contas diferentes. Implemente o período de tempo mais curto aceitável para alterações de senha, de 45 a 90 dias.
- Desative as portas de acesso remoto/RDP (Remote Desktop Protocol) não utilizadas e monitore os logs de acesso remoto/ RDP.
- Auditar contas de usuários com privilégios administrativos e configurar controles de acesso com o mínimo de privilégios.
- Instale e atualize regularmente o software antivírus e anti-malware em todos os hosts.
- Considere adicionar um banner de e-mail aos e-mails recebidos de fora da sua organização.
- Desative os hiperlinks nos e-mails recebidos.
- Foco na conscientização e treinamento. Forneça aos usuários treinamento sobre princípios e técnicas de segurança da informação, especialmente sobre como reconhecer e evitar emails de phishing.
O NIC.br disponibilizou uma cartilha com melhores práticas de segurança na internet e que podem servir como base para campanhas de conscientização dos funcionários, em sua empresa, no tocante a importância da segurança da informação para o negócio.
--------------
Nossos canais:
Facebook | Telegram | Twitter | YouTube
