ALERTA 07/2022: Vulnerabilidade crítica em Firewall, opensource, PFSense

1. O National Institute of Standards and Technology (NIST), laboratório de padrões de medidas, ligado ao Departamento de Comércio dos EUA, publicou a vulnerabilidade divulgada na CVE-2021-41282, em um Firewall de código aberto, disponível em:

https://nvd.nist.gov/vuln/detail/CVE-2021-41282

2. Sobre o assunto destacamos, também, que a Shielder, empresa especializada em serviços de segurança, publicou estudo de caso e prova de conceito (proof of concept – PoC), disponível em:

https://www.shielder.it/advisories/pfsense-remote-command-execution/

3. O Centro de Prevenção, Tratamento e Resposta à Incidentes Cibernéticos de Governo (CTIR Gov) recomenda, que as instituições da Administração Pública Federal (APF) que identifiquem, em seus inventários de ativos, a existência de versões do PFSense vulneráveis e realizem a correção adequada ao caso (atualização para versão 2.6.0 ou superior). Segue, abaixo, link contendo demais informações sobre esta nova versão:

https://docs.netgate.com/pfsense/en/latest/releases/22-01_2-6-0.html

4. O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.

5. Outrossim, cabe a leitura atenta, por parte de todos os Órgãos da Administração Pública Federal, do Decreto citado disponível em:

https://www.in.gov.br/en/web/dou/-/decreto-n-10.748-de-16-de-julho-de-2021-332610022

6. Por fim, o CTIR Gov indica a consulta frequente aos alertas e recomendações divulgadas em:

https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

Para clientes com contrato vigente, a CITIS realiza a manutenção preventiva e mantém todo o ambiente atualizado.