2. Vulnerabilidad Zero-Day en dispositivos FortiGate de Fortinet

Vulnerabilidad Zero-Day en dispositivos FortiGate de Fortinet

Fecha de publicación: Jue, 16/01/2025 - 10:39

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado una vulnerabilidad de tipo Zero-Day en dispositivos FortiGate, que actualmente está siendo explotada activamente. Esta vulnerabilidad permite a un atacante obtener acceso administrativo no autorizado de forma remota, lo que podría resultar en la modificación de configuraciones críticas, la extracción de credenciales y la comprometida seguridad de la red.

Recursos afectados

FortiOS 7.0;  (7.0.0 a 7.0.16)

FortiProxy 7.2;  (7.0.0 a 7.0.19)

FortiProxy 7.0; (7.2.0 a 7.2.12)

Solución

FortiOS 7.0 - actualización a 7.0.17 o superior

FortiProxy 7.2 - actualización a 7.0.20 o superior

FortiProxy 7.0 - actualización a 7.2.13 o superior

Indicadores de compromiso

Registro de actividad de inicio de sesión con script aleatorio y dstip:

type="event" subtype="system" level="information" vd="root" logdesc="Inicio de sesión de administrador exitoso" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrador admin inició sesión correctamente desde jsconsole".

A continuación se muestra el registro de creación de administrador con un nombre de usuario y una dirección IP de origen aparentemente generados aleatoriamente:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configure" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" ​​cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep".

Las siguientes direcciones IP fueron las más utilizadas por los atacantes en los registros anteriores:

  • 1.1.1.1
  • 127.0.0.1
  • 2.2.2.2
  • 8.8.8.8
  • 8.8.4.4

Tenga en cuenta que los parámetros IP anteriores no son las direcciones IP de origen reales del tráfico de ataque, sino que son generados arbitrariamente por el atacante como parámetro. Por este motivo, no se deben utilizar para ningún bloqueo.

Recomendaciones

  • Actualizar los productos afectados a una versión que mitigue la vulnerabilidad.
  • Actualizar el firmware a la última versión estable proporcionada por Fortinet.
  • Implementar autenticación multifactor (MFA) para salvaguardar los accesos administrativos.
  • Monitorear la actividad sospechosa, como inicios de sesión desde direcciones IP inusuales.
  • Realizar análisis de seguridad para detectar posibles compromisos en la red.

Referencias

Cybersecuritynews

FORTIGUARD

TheHacker