Vulnerabilidad

Vulnerabilidad crítica en FortiOS y FortiProxy

Fortinet publicó recientemente una vulnerabilidad crítica que afecta a los productos FortiOS y FortiProxy, identificada como CVE-2024-55591 (CVSS:3.1=9.6), que permite a un atacante remoto obtener privilegios de súper administrador (Authentication Bypass) en las versiones de los productos afectados.
FortiOS y FortiProxy

Esta vulnerabilidad está siendo explotada de manera activa en entornos donde las interfaces de gestión están expuestas a Internet.

Detalles técnicos

La vulnerabilidad surge a través de solicitudes elaboradas al módulo websocket Node.js, lo que podría permitir a un atacante remoto obtener acceso privilegiado al dispositivo afectado.

Productos afectados

  • FortiOS (versiones 7.0.0 a 7.0.16).
  • FortiProxy (versiones 7.0.0 a 7.0.19, 7.2.0 a 7.2.12).

Remediación

Es posible remediar las vulnerabilidades actualizando a las versiones más recientes proporcionadas por Fortinet.

Mitigación

Mientras se implementa la actualización, se recomienda:

  1. Deshabilitar la interfaz administrativa HTTP/HTTPS.
  2. Limitar las direcciones IP que pueden acceder a la interfaz administrativa mediante políticas de entrada local.

Indicadores de Compromisos (IoC)

Log entries
  • Registro de actividad de inicio de sesión con script aleatorio y dstip:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

  • Registro de creación de administrador con un nombre de usuario y una dirección IP de origen aparentemente generados aleatoriamente:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

IP addresses
  • 45.55.158.47
  • 87.249.138.47
  • 155.133.4.175
  • 37.19.196.65
  • 149.22.94.37

Recomendaciones

Se insta a los administradores a:

  • Actualizar de inmediato a la versión más reciente de los productos afectados.
  • Verificar si las direcciones IP mencionadas han interactuado con sus dispositivos.
  • Analizar y monitorear trazas de auditoría en busca de inicios de sesión y cambios no autorizados o cualquier actividad sospechosa.

Enlaces relacionados

Etiquetas