(Otra) vulnerabilidad crítica de FortiOS SSL VPN (CVE-2024-21762)
Fortinet ha revelado una nueva falla de seguridad crítica en FortiOS SSL VPN que, según dijo, probablemente esté siendo explotada en la naturaleza. La vulnerabilidad, CVE-2024-21762 (CVSS: 9,6), permite la ejecución de código y comandos arbitrarios.
"Una vulnerabilidad de escritura fuera de límites [CWE-787] en FortiOS puede permitir que un atacante remoto no autenticado ejecute código o comando arbitrario a través de solicitudes HTTP especialmente diseñadas", dijo la compañía en un boletín publicado el jueves.
Reconoció además que el problema está "potencialmente siendo explotado en la naturaleza", sin dar detalles adicionales sobre cómo y quién lo está utilizando como arma.
Las siguientes versiones se ven afectadas por la vulnerabilidad. Vale la pena señalar que FortiOS 7.6 no se ve afectado.
- FortiOS 7.6 no afectado
- FortiOS 7.4 (versiones 7.4.0 - 7.4.2) - Actualizar a 7.4.3+
- FortiOS 7.2 (versiones 7.2.0 - 7.2.6) - Actualizar a 7.2.7+
- FortiOS 7.0 (versiones 7.0.0 - 7.0.13) - Actualizar a 7.0.14+
- FortiOS 6.4 (versiones 6.4.0 - 6.4.14) - Actualizar a 6.4.15+
- FortiOS 6.2 (versiones 6.2.0 - 6.2.15) - Actualizar a 6.2.16+
- FortiOS 6.0 (versiones 6.0.x) - Migrar a versiones soportadas
A principios de esta semana, el gobierno de los Países Bajos reveló que una red informática utilizada por las fuerzas armadas fue infiltrada por actores patrocinados por el estado chino mediante la explotación de fallas conocidas en los dispositivos Fortinet FortiGate para ofrecer una puerta trasera llamada COATHANGER.
La compañía, en un informe publicado esta semana, divulgó que las vulnerabilidades de seguridad del día N en su software, como CVE-2022-42475 y CVE-2023-27997, están siendo explotadas por múltiples grupos de actividades para atacar a gobiernos, proveedores de servicios, empresas d manufactura y grandes organizaciones de infraestructura crítica.
Anteriormente, los actores de amenazas chinos han sido vinculados a la explotación de día cero de fallas de seguridad en dispositivos Fortinet para entregar una amplia gama de implantes, como BOLDMOVE, THINCRUST y CASTLETAP.
También sigue a un aviso del gobierno de EE.UU. sobre un grupo de estado-nación chino denominado Volt Typhoon, que se ha centrado en la infraestructura crítica del país para una persistencia no descubierta a largo plazo aprovechando fallas conocidas y de día cero en dispositivos de red como los de Fortinet, Ivanti Connect Secure, NETGEAR, Citrix y Cisco para acceso inicial.
En todo caso, las campañas emprendidas por China y Rusia subrayan la creciente amenaza que enfrentan los dispositivos de acceso a Internet en los últimos años debido al hecho de que dichas tecnologías carecen de soporte de detección y respuesta de terminales (EDR), lo que las hace propicias para el abuso.
"Estos ataques demuestran el uso de vulnerabilidades de día N ya resueltas y técnicas posteriores [de vivir de la tierra], que son altamente indicativas del comportamiento empleado por el ciberactor o grupo de actores conocido como Volt Typhoon, que ha sido utilizando estos métodos para atacar la infraestructura crítica y potencialmente otros actores adyacentes", dijo Fortinet.
CISA confirma la explotación de CVE-2024-21762
El 9 de febrero de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó CVE-2024-21762 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) recibieron el mandato de aplicar las correcciones antes del 16 de febrero de 2024 para proteger sus redes contra posibles amenazas.
Por ahora la empresa recomienda como workaround desactivar SSL VPN y aclara que desactivar el webmode no es válido como solución. Se recomienda actualizar utilizando la herramienta oficial de Fortinet: https://docs.fortinet.com/upgrade-tool
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!