La vulnerabilidad crítica de FortiGuard permite la creación de un usuario administrador (CVSS 9.6)

Vulnerabilidad en FortiOS y FortiProxy: CWE-288 y CVE-2024-55591

Se ha identificado una grave vulnerabilidad de omisión de autenticación (CWE-288) en las plataformas FortiOS y FortiProxy que permite a un atacante remoto obtener privilegios de superadministrador al enviar solicitudes maliciosas a través de Internet, específicamente al módulo de acceso de Node.js. Esta vulnerabilidad ha sido catalogada como CVE-2024-55591 y se ha reportado que está siendo explotada activamente por ciberdelincuentes.

Descripción del Ataque

Los atacantes han logrado acceder a la configuración de dispositivos afectados de diversas maneras, que incluyen:

1. Creación de Cuentas Administrativas: Se han registrado cuentas de administrador con nombres de usuario aleatorios.
2. Cuentas de Usuario Locales: Generación de cuentas locales también con nombres aleatorios.
3. Modificaciones en Grupos de Usuarios: Alteraciones en grupos de usuarios existentes o creación de nuevos grupos dentro del sistema SSL VPN.
4. Cambios de Configuración: Modificaciones a políticas de firewall y direcciones asociadas.
5. Acceso a SSL VPN: Uso de cuentas locales para establecer túneles hacia la red interna.

Versiones Afectadas

Las versiones de FortiOS y FortiProxy que son susceptibles a esta vulnerabilidad son:

• FortiOS:

  • Versiones desde 7.0.0 hasta 7.0.16.
  • Se debe actualizar a la versión 7.0.17 o más reciente.
• FortiProxy:
  • Versiones desde 7.2.0 hasta 7.2.12.
  • Actualizar a 7.2.13 o más nuevo.
  • Versiones desde 7.0.0 hasta 7.0.19.
  • Actualizar a la versión 7.0.20 o más nueva.

Se recomienda encarecidamente a los usuarios de estas versiones vulnerables que realicen la actualización utilizando la herramienta de actualización proporcionada por Fortinet.

Medidas de Mitigación

Para protegerse contra posibles ataques derivados de esta vulnerabilidad, se sugieren las siguientes medidas:

1. Deshabilitar Interfaces Administrativas: Desactivar el acceso a través de HTTP/HTTPS para la interfaz administrativa.
2. Restricciones de IP: Limitar el rango de direcciones IP que pueden acceder a las interfaces administrativas.

Para obtener más consejos útiles sobre la seguridad de sus dispositivos, se sugiere visitar las plataformas de PSIRT y Laboratorios FortiGuard.

Indicadores de Compromiso (IoCs)

Los administradores deben estar atentos a ciertos indicios en los registros de sistema que pueden señalar una intrusión:

1. Inicio de Sesión Sospechoso:

   • Registro con scripts aleatorios y direcciones IP ficticias.
   • Idealmente descrito en logs que indican un inicio de sesión exitoso con el usuario "admin".
2. Creación de Usuarios Administrativos:
   • Cambios en registros asociados a la creación de usuarios con nombres extraños y direcciones IP que no corresponden a los orígenes reales.

Direcciones IP comúnmente observadas en los registros incluyen:

• 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.8.8, y 8.8.4.4. Sin embargo, es crucial entender que estas direcciones no son siempre representativas de las IP reales de los atacantes, ya que pueden ser generadas de forma aleatoria.

Recomendación Final

Los administradores de sistemas de FortiOS y FortiProxy deben permanecer alertas ante posibles actividades maliciosas en sus configuraciones, asegurar que su software esté actualizado y seguir las buenas prácticas de seguridad recomendadas para mitigar los riesgos asociados con esta vulnerabilidad crítica.

Enlace de la fuente, haz clic para tener más información