FortiGate bajo ataque por una vulnerabilidad de día cero (CVE-2024-55591). Este fallo de día cero permite privilegios de superadministrador. ¡Actualice su firewall para mitigar el riesgo de día cero en su red!
Esto es lo que descubrirás
Aprenderá cómo los atacantes explotan el día cero en FortiOS para tomar control total. Analizaremos las fases de este ataque y las medidas urgentes para proteger su infraestructura contra amenazas de día cero.
Los dispositivos FortiGate están siendo blanco de un día cero crítico (CVE-2024-55591). Este día cero permite a atacantes remotos obtener privilegios de superadministrador. La explotación de este día cero pone en riesgo la integridad de redes globales que no han mitigado la falla de día cero a tiempo.
Dispositivos afectados
El impacto de este día cero alcanza a versiones de FortiOS y FortiProxy lanzadas en 2024. Al ser un día cero, la vulnerabilidad afecta incluso a sistemas que se consideraban seguros antes del descubrimiento del día cero. Es vital identificar si su firmware es vulnerable a este día cero.
|
Producto |
Versión Afectada |
Solución |
|
FortiSwitch 7.4 |
7.4.0 |
Actualización a 7.4.1 o superior |
|
FortiSwitch 7.2 |
De 7.2.0 a 7.2.5 |
Actualización a 7.2.6 o superior |
|
FortiSwitch 7.0 |
De 7.0.0 a 7.0.7 |
Actualización a 7.0.8 o superior |
|
FortiSwitch 6.4 |
De 6.4.0 a 6.4.13 |
Actualizar a la versión 6.4.14 o superior |
|
FortiSwitch 6.2 |
De 6.2.0 a 6.2.7 |
Actualización a la versión 6.2.8 o superior |
|
FortiSwitch 6.0 |
De 6.0.0 a 6.0.7 |
Migración a una versión fija |
Fases de ataque
El ataque de día cero se ejecuta en múltiples etapas: escaneo de dispositivos expuestos, escalada de privilegios mediante el día cero, y creación de cuentas falsas. Los atacantes aprovechan el día cero para ocultar su rastro con IPs falsificadas mientras explotan el día cero.
- Escaneo de dispositivos vulnerables
- Modificación de configuraciones para probar privilegios de administrador
- Creación o secuestro de cuentas de administrador para configurar el acceso VPN SSL
- Extracción de información confidencial de cuentas mediante la replicación de dominio
- Los atacantes utilizaron direcciones IP falsificadas, como 127.0.0.1 y 8.8.8.8, para ocultar actividades maliciosas.
Después de iniciar sesión a través de la vulnerabilidad, los registros mostrarán una IP de origen y una IP de destino aleatorias:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
Después de que los actores de amenazas creen un usuario administrador, se generará un registro con lo que parece ser un nombre de usuario generado aleatoriamente y una dirección IP de origen:
"type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Las empresas de seguridad también advirtieron que los atacantes comúnmente usaban las siguientes direcciones IP en sus ataques:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4
Respuesta de Fortinet
Ante el reporte del día cero, Fortinet confirmó que los actores de amenazas usan el día cero para inyectar usuarios administradores. La respuesta al día cero incluye parches específicos que deben aplicarse para cerrar la brecha abierta por este día cero de alta peligrosidad.
Es crucial tomar medidas inmediatas para:
- Desactivar el acceso público
- Actualizar el firmware
- Monitorear las anomalías para evitar una mayor explotación
Recomendaciones de seguridad
Para combatir el día cero, es imperativo desactivar el acceso público a la gestión. Actualizar tras un día cero es la única defensa definitiva. Además, monitorear registros tras un día cero ayuda a detectar si el día cero ya fue explotado en su red. Implementar MFA es clave tras un evento de día cero.
