> [!danger] CVSS 9.8 - Crítico > Path traversal no portal web SSL VPN do FortiOS permite download não autenticado de arquivos do sistema, incluindo credenciais em texto claro. > [!warning] CISA KEV - Exploração Ativa Contínua > Adicionada ao catálogo CISA KEV em 2021-11-03. Exploração ativa documentada por múltiplos grupos APT de 2019 a 2021+. > [!warning] Credenciais Expostas em Massa > Em 2020, uma lista com credenciais de ~50.000 dispositivos FortiVPN foi públicada online. Rotacionar senhas de todos os dispositivos afetados é obrigatório. # CVE-2018-13379 - Fortinet FortiOS SSL VPN Path Traversal (Credential Theft) > CVSS: 9.8 · EPSS: 97% · Vendor: Fortinet · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2018-13379** é uma vulnerabilidade crítica de **path traversal** (CWE-22) no portal web SSL VPN do [[_fortinet|Fortinet]] FortiOS e FortiProxy. A falha permite que atacantes não autenticados façam download de arquivos do sistema operacional via requisições HTTP especialmente elaboradas, incluindo o arquivo `sslvpn_websession` que contém **credenciais de usuário VPN em texto claro**. Descoberta em 2019 e com patch disponível desde maio de 2019, a vulnerabilidade continuou sendo ativamente explorada por múltiplos grupos APT (russos, iranianos, chineses) ao longo de 2020 e 2021, motivado pelo grande número de dispositivos sem patch. Em 2020, pesquisadores públicaram uma lista com credenciais de aproximadamente **50.000 dispositivos FortiVPN** extraídas através desta vulnerabilidade. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração - CISA KEV: adicionado em 2021-11-03 - Exploração ativa documentada de 2019 a 2021+ ## Detalhes Técnicos A exploração utiliza requisições HTTP malformadas com segmentos de path traversal: ``` GET /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession ``` 1. **Path traversal:** A URL manipulada contém sequências `/../` que escapam do diretório raiz do portal VPN 2. **Acesso a arquivos do sistema:** O servidor FortiOS não sanitiza adequadamente o caminho, permitindo leitura de arquivos arbitrários 3. **Arquivo alvo principal:** `/dev/cmdb/sslvpn_websession` contém sessões ativas e credenciais de usuários VPN 4. **Dados exfiltrados:** Nomes de usuário, senhas em texto claro, endereços IP de clientes VPN ## Exploração **Status atual:** Exploração contínua - múltiplos grupos APT exploram dispositivos sem patch ao longo de anos. A NCSC britânica emitiu alertas múltiplos entre 2020 e 2021 alertando sobre a exploração continuada da vulnerabilidade, mesmo anos após o patch estar disponível. APTs de múltiplos estados nacionais exploram sistematicamente dispositivos FortiVPN sem patch. **Grupos de ameaça utilizando:** - [[g0016-apt29]] - SVR russo - utilizou credenciais FortiVPN para acesso inicial em campanhas de espionagem - [[g0096-apt41]] - grupo chinês - exploração para acesso persistente a redes corporativas e governamentais - [[g0069-mango-sandstorm]] - iraniano - exploração de VPNs como vetor de acesso inicial preferêncial **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do FortiVPN exposto - [[T1552.001-credentials-in-files|T1552.001 - Credentials in Files]] - extração de credenciais do arquivo de sessão - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais VPN roubadas ## Contexto LATAM > [!latam] FortiVPN e Infraestrutura Crítica na América Latina > O Fortinet FortiGate/FortiOS é um dos firewalls e soluções VPN corporativos mais populares na América Latina, com forte presença em órgãos governamentais, bancos, operadoras de saúde e empresas de energia no **Brasil, Chile, Colômbia e México**. Pesquisas de 2020 indicaram que milhares de dispositivos FortiVPN expostos na LATAM ainda operavam versões vulneráveis meses após o patch estar disponível. > > O vazamento de credenciais de ~50.000 dispositivos FortiVPN públicado em 2020 incluiu alvos de múltiplos países da região. Grupos de ransomware que atuam no Brasil — como aqueles afiliados ao **LockBit** e **BlackCat** — documentaram o uso de credenciais VPN roubadas via CVE-2018-13379 como vetor de acesso inicial em ataques contra organizações brasileiras entre 2021 e 2023. ## Mitigação **Patch oficial:** - Advisory: [Fortinet PSIRT FG-IR-18-384](https://www.fortiguard.com/psirt/FG-IR-18-384) - FortiOS 6.0.5+, 5.6.8+, 5.4.13+ - FortiProxy 2.0.1+, 1.2.9+ **Ações obrigatórias mesmo após patch:** 1. Rotacionar **todas as senhas VPN** - credenciais podem ter sido comprometidas antes do patch 2. Verificar usuários VPN ativos por sessões suspeitas 3. Revisar logs para acesso ao endpoint `/remote/fgt_lang` 4. Implementar MFA para autenticação VPN 5. Aplicar CISA Advisory AA21-092A para verificar indicadores de comprometimento ## Notas Relacionadas **CVEs relacionados:** [[cve-2022-40684|CVE-2022-40684]] · [[cve-2024-47575|CVE-2024-47575]] · [[cve-2024-21762|CVE-2024-21762]] **Atores explorando:** [[g0016-apt29]] · [[g0096-apt41]] · [[g0069-mango-sandstorm]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[T1552.001-credentials-in-files|T1552.001 - Credentials in Files]] **Setores em risco:** [[government]] · [[financial]] · [[critical-infrastructure|infraestrutura crítica]] ## Referências - [NVD - CVE-2018-13379](https://nvd.nist.gov/vuln/detail/CVE-2018-13379) - [Fortinet PSIRT Advisory](https://www.fortiguard.com/psirt/FG-IR-18-384) - [NCSC UK Advisory - April 2021](https://www.ncsc.gov.uk/files/Critical%20risk%20to%20unpatched%20Fortinet%20devices%20from%20CVE_2018_13379%20APRIL%202021.pdf) - [CISA Advisory AA21-092A](https://www.cisa.gov/uscert/ncas/alerts/aa21-092a) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)