Falha crítica em switches permite alteração remota de senhas de administrador

A Fortinet lançou esta semana uma atualização de segurança para corrigir uma vulnerabilidade crítica (CVE-2024-48887) nos seus dispositivos FortiSwitch. A vulnerabilidade permitia que agentes maliciosos não autenticados modificassem as senhas de administrador remotamente, através de uma simples solicitação enviada ao endpoint set_password. Esta vulnerabilidade foi classificada com uma pontuação de 9,8 em 10 na escala de gravidade CVSS, evidenciando o risco elevado de exploração.

De acordo com a Fortinet, a falha foi descoberta internamente por Daniel Rozeboom, membro da equipa de desenvolvimento da interface Web do FortiSwitch. A vulnerabilidade estava presente em várias versões, desde a 6.4.0 até à 7.6.0, tendo sido resolvida com o lançamento das versões 6.4.15, 7.0.11, 7.2.9, 7.4.5 e 7.6.1. Para organizações que não consigam aplicar imediatamente os patches, a Fortinet recomenda desativar o acesso HTTP/HTTPS nas interfaces administrativas e restringir o acesso a dispositivos vulneráveis a redes de confiança.

A empresa revelou ainda que outras vulnerabilidades foram corrigidas na mesma atualização, incluindo uma falha de injeção de comandos no FortiIsolator (CVE-2024-54024) e falhas exploráveis em múltiplos produtos como FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice e FortiWeb (CVE-2024-26013 e CVE-2024-50565). Estas vulnerabilidades podem ser exploradas em ataques do tipo man-in-the-middle, representando riscos adicionais para ambientes empresariais.

As vulnerabilidades nos produtos Fortinet têm sido alvos frequentes de ciberataques, muitas vezes exploradas antes da publicação dos patches oficiais. Em dezembro de 2024, atacantes ligados à China utilizaram um exploit zero day no FortiClient Windows VPN para roubar credenciais, recorrendo à ferramenta DeepData. Também em 2024, a falha conhecida como “FortiJump” (CVE-2024-47575) foi usada para comprometer mais de 50 servidores.

Mais recentemente, a Fortinet reportou novas falhas exploradas como zero day em ataques de ransomware — CVE-2024-55591 e CVE-2025-24472 — reforçando a necessidade de uma monitorização contínua e aplicação célere de atualizações de segurança por parte das empresas que utilizam soluções da marca.