Vulnerabilidad crítica en FortiOS y FortiProxy

Esta vulnerabilidad está siendo explotada de manera activa en entornos donde las interfaces de gestión están expuestas a Internet.
Detalles técnicos
La vulnerabilidad surge a través de solicitudes elaboradas al módulo websocket Node.js, lo que podría permitir a un atacante remoto obtener acceso privilegiado al dispositivo afectado.
Productos afectados
- FortiOS (versiones 7.0.0 a 7.0.16).
- FortiProxy (versiones 7.0.0 a 7.0.19, 7.2.0 a 7.2.12).
Remediación
Es posible remediar las vulnerabilidades actualizando a las versiones más recientes proporcionadas por Fortinet.
Mitigación
Mientras se implementa la actualización, se recomienda:
- Deshabilitar la interfaz administrativa HTTP/HTTPS.
- Limitar las direcciones IP que pueden acceder a la interfaz administrativa mediante políticas de entrada local.
Indicadores de Compromisos (IoC)
Log entries
- Registro de actividad de inicio de sesión con script aleatorio y dstip:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
- Registro de creación de administrador con un nombre de usuario y una dirección IP de origen aparentemente generados aleatoriamente:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
IP addresses
- 45.55.158.47
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
Recomendaciones
Se insta a los administradores a:
- Actualizar de inmediato a la versión más reciente de los productos afectados.
- Verificar si las direcciones IP mencionadas han interactuado con sus dispositivos.
- Analizar y monitorear trazas de auditoría en busca de inicios de sesión y cambios no autorizados o cualquier actividad sospechosa.