RECOMENDAÇÃO 37/2022

[TLP:CLEAR]

1. Foi publicada a existência de vulnerabilidade de segurança nos produtos FortiGate e FortiProxy, da empresa Fortinet, conforme descrito na Common Vulnerabilities and Exposures (CVE) abaixo relacionada:

• https://nvd.nist.gov/vuln/detail/CVE-2022-40684
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40684

2. A vulnerabilidade permite que agentes maliciosos, sem autenticação, possam executar tarefas arbitrárias remotamente na interface administrativa por meio de requisições HTTP(S). As versões vulneráveis dos produtos são:

• FortiOS: de 7.0.0 a 7.0.6 e de 7.2.0 a 7.2.1; e
• FortiProxy: de 7.0.0 a 7.0.6 e 7.2.0

4. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem com urgência as devidas atualizações para as versões 7.0.7 ou 7.2.2 do FortiOS ou FortiProxy, conforme orientações do fabricante, disponíveis no link:

• https://docs.fortinet.com/document/fortigate/7.0.7/fortios-release-notes/289806/resolved-issues
• https://docs.fortinet.com/document/fortigate/7.2.2/fortios-release-notes/289806/resolved-issues

5. Baseado no ciclo de vida de resposta a incidentes, a fase da preparação é essencial para construção de infraestruturas resilientes. Quanto a questão tecnológica, sugerimos as equipes responsáveis a adoção da estratégia de Defesa em Profundidade implementada em conformidade com a análise de riscos da organização, onde se recomenda uma abordagem observando o modelo zero trust. Outros aspectos podem ser verificados no sítio eletrônico da Cybersecurity and Infrastructure Security Agency (CISA).

• https://www.cisa.gov/zero-trust-maturity-model

6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).

7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:

• https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938

8. Os alertas e recomendações emitidos pelo CTIR Gov podem ser encontrados em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:

• https://www.gov.br/ctir/pt-br/assuntos/tlp 

ATUALIZAÇÃO 20/10/2022 (abaixo)

10. A empresa Fortinet atualizou a recomendação de atualização dos sistemas:

• FortiOS versões: 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0;
• FortiProxy versões: 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0; e
• FortiSwitchManager : 7.2.0, 7.0.0.

11. O CTIR Gov reforça a necessidade de atualização imediata dos sistemas citados, e recomenda a leitura e execução das medidas mitigadoras publicadas em:

• https://www.fortiguard.com/psirt/FG-IR-22-377

 Equipe CTIR Gov.

[TLP:CLEAR]