> [!danger] CVSS 9.8 - Crítico > Upload irrestrito de arquivos na interface de gerenciamento web do FatPipe permite que atacante não autenticado grave arquivos em qualquer local do sistema de arquivos. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2022-01-10. Exploração associada a atores APT chineses. > [!success] Patch Disponível > Versões 10.1.2r60p92 e 10.2.2r44p1 ou superiores corrigem a vulnerabilidade. # CVE-2021-27860 - FatPipe WARP/IPVPN/MPVPN Unrestricted File Upload > CVSS: 9.8 · EPSS: 40% · Vendor: FatPipe Networks · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2021-27860** é uma vulnerabilidade crítica de **upload irrestrito de arquivos** (CWE-434) na interface de gerenciamento web dos produtos **FatPipe WARP, IPVPN e MPVPN** - soluções de SD-WAN e VPN amplamente utilizadas por agências governamentais e empresas para gerenciamento de múltiplos links WAN. A falha permite que atacantes remotos não autenticados façam upload de arquivos para qualquer localização no sistema de arquivos do dispositivo. A exploração efetiva desta vulnerabilidade pode levar à execução remota de código - o atacante pode gravar um webshell ou script malicioso em um diretório executável e, em seguida, acionar sua execução. A CISA e o FBI emitiram alertas em 2022 associando a exploração desta vulnerabilidade a grupos APT patrocinados pela República Popular da China (RPC) utilizando técnicas "living off the land". **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **40%** de probabilidade de exploração - CISA KEV: adicionado em 2022-01-10 - Advisory FatPipe: FPSA006 ## Detalhes Técnicos A vulnerabilidade reside no gerenciamento inadequado de uploads de arquivos na interface web de administração: 1. **Endpoint vulnerável:** Interface de gerenciamento web exposta na porta padrão (HTTP/HTTPS) 2. **Sem autenticação:** Atacante remoto não autenticado pode acessar diretamente os endpoints vulneráveis 3. **Upload arbitrário:** Arquivos podem ser gravados em qualquer localização no sistema de arquivos (CWE-434) 4. **Escalada para RCE:** Combinando com técnicas de path traversal, permite gravação de webshells em diretórios acessíveis pelo servidor web ## Exploração **Status atual:** Exploração ativa confirmada por atores APT patrocinados pelo estado chinês. Alertas conjuntos da CISA e FBI (2022-2023) documentaram o uso desta vulnerabilidade por atores APT alinhados à China em campanhas de espionagem contra organizações governamentais e de infraestrutura crítica dos EUA e aliados. **Grupos de ameaça utilizando:** - [[g0096-apt41]] - grupo chinês (Winnti) com histórico de exploração de dispositivos de rede para espionagem e acesso persistente **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da interface web exposta - [[t1505-003-web-shell|T1505.003 - Web Shell]] - instalação de webshell para persistência - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução pós-exploração ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Identificação de FatPipe<br/>WARP/IPVPN/MPVPN exposto"] --> B["💥 Upload Irrestrito<br/>Upload de arquivo malicioso<br/>via interface web sem autenticação"] B --> C["🔑 Path Traversal<br/>Gravação de webshell em<br/>diretório executável do servidor"] C --> D["🛡️ Execução Remota<br/>Acesso ao webshell para<br/>execução de comandos arbitrários"] D --> E["🔗 Living off the Land<br/>Uso de ferramentas nativas<br/>para persistência e movimentação"] E --> F["📤 Espionagem<br/>Exfiltração de dados sensíveis<br/>de rede governamental/crítica"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > Soluções SD-WAN como FatPipe WARP, IPVPN e MPVPN são utilizadas por provedores de serviço e organizações governamentais na América Latina para gerenciamento de múltiplos links WAN. Embora a penetração de mercado da FatPipe na região seja menor comparada a Cisco ou Fortinet, organizações que utilizam esses appliances frequentemente os posicionam em pontos críticos da infraestrutura de rede. > > O envolvimento documentado do APT41 na exploração desta vulnerabilidade é particularmente relevante para o Brasil, dado que grupos china-nexus expandiram operações de espionagem contra infraestrutura crítica e governos latinoamericanos nos últimos anos. Setores como energia, telecomúnicações e governo federal brasileiro que utilizam soluções SD-WAN devem auditar seus appliances de borda para garantir que não estejam expostos. > > A técnica de "living off the land" empregada pelos atacantes dificulta a detecção por soluções tradicionais, exigindo monitoramento comportamental avançado que muitas organizações brasileiras ainda não possuem implementado. ## Mitigação **Patch oficial:** - Atualizar para FatPipe WARP/IPVPN/MPVPN versão **10.1.2r60p92** ou superior - Ou versão **10.2.2r44p1** ou superior - Advisory: FPSA006 (FatPipe Networks) **Ações recomendadas:** 1. Aplicar patch imediatamente em todos os dispositivos FatPipe afetados 2. Restringir acesso à interface de gerenciamento web - não expor diretamente à internet 3. Revisar logs de acesso para uploads não autorizados 4. Verificar integridade do sistema de arquivos para webshells ou arquivos suspeitos 5. Implementar autenticação multifator para acesso à interface administrativa ## Notas Relacionadas **CVEs relacionados:** [[cve-2021-27104|CVE-2021-27104]] · [[cve-2021-27103|CVE-2021-27103]] · [[cve-2021-40539|CVE-2021-40539]] **Atores explorando:** [[g0096-apt41]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] **Setores em risco:** [[government|governo]] · [[critical-infrastructure|infraestrutura crítica]] · [[telecommunications|telecomúnicações]] · [[energy|energia]] ## Referências - [NVD - CVE-2021-27860](https://nvd.nist.gov/vuln/detail/CVE-2021-27860) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CISA/FBI ICS Advisory - China-Nexus Living off the Land](https://www.cisa.gov/news-events/cybersecurity-advisories) - [Check Point Advisories - CVE-2021-27860](https://research.checkpoint.com/)