CSIRT Blog

Firewalls de FortiGate bajo vulnerabilidades de día cero.

Escrito por E-dea Networks | 14-feb-2025 1:21:20

Vulnerabilidad de Día Cero en Dispositivos FortiGate de Fortinet.

Los dispositivos de firewall FortiGate de Fortinet están siendo atacados debido a una vulnerabilidad de día cero.
Los ciberdelincuentes están explotando las interfaces de administración expuestas en redes públicas, obteniendo acceso no autorizado y comprometiendo las configuraciones del firewall.

Esta falla de seguridad, identificada con el CVE-2024-55591, afecta a FortiOS y FortiProxy.
Su explotación exitosa permite a atacantes remotos obtener privilegios de superadministrador al realizar solicitudes maliciosas al módulo websocket de Node.js.

También se les ha observado:

  • Agregando o cambiando políticas de firewall
  • Modificando configuraciones críticas
  • Iniciando sesión en SSLVPN usando cuentas falsas creadas previamente para obtener un túnel a la red interna

Dispositivos Afectados

Los dispositivos que ejecutan las versiones de firmware 7.0.14 a 7.0.16 (lanzadas entre febrero y octubre de 2024) están en riesgo.

Producto

Versión Afectada

Solución

FortiSwitch 7.4

7.4.0

Actualización a 7.4.1 o superior

FortiSwitch 7.2

De 7.2.0 a 7.2.5

Actualización a 7.2.6 o superior

FortiSwitch 7.0

De 7.0.0 a 7.0.7

Actualización a 7.0.8 o superior

FortiSwitch 6.4

De 6.4.0 a 6.4.13

Actualizar a la versión 6.4.14 o superior

FortiSwitch 6.2

De 6.2.0 a 6.2.7

Actualización a la versión 6.2.8 o superior

FortiSwitch 6.0

De 6.0.0 a 6.0.7

Migración a una versión fija

Fases de Ataque

El ataque implica un enfoque de múltiples fases observado entre noviembre y diciembre de 2024, que incluye:

  • Escaneo de dispositivos vulnerables
  • Modificación de configuraciones para probar privilegios de administrador
  • Creación o secuestro de cuentas de administrador para configurar el acceso VPN SSL
  • Extracción de información confidencial de cuentas mediante la replicación de dominio
  • Los atacantes utilizaron direcciones IP falsificadas, como 127.0.0.1 y 8.8.8.8, para ocultar actividades maliciosas.

Después de iniciar sesión a través de la vulnerabilidad, los registros mostrarán una IP de origen y una IP de destino aleatorias:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

Después de que los actores de amenazas creen un usuario administrador, se generará un registro con lo que parece ser un nombre de usuario generado aleatoriamente y una dirección IP de origen:

"type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

Las empresas de seguridad también advirtieron que los atacantes comúnmente usaban las siguientes direcciones IP en sus ataques:

1.1.1.1

127.0.0.1

2.2.2.2

8.8.8.8

8.8.4.4

 

Respuesta de Fortinet

Tras ser informado por Arctic Wolf, Fortinet afirma que los atacantes que explotan el día cero están creando usuarios administradores o locales generados aleatoriamente en dispositivos comprometidos y los están agregando a grupos de usuarios de VPN SSL existentes o a nuevos grupos creados por ellos.

Es crucial tomar medidas inmediatas para:

  • Desactivar el acceso público
  • Actualizar el firmware
  • Monitorear las anomalías para evitar una mayor explotación

Recomendaciones de Seguridad

  • Deshabilitar inmediatamente el acceso a la interfaz de administración pública
  • Actualizar periódicamente el firmware a la última versión estable
  • Monitorear comportamientos inusuales, como inicios de sesión de administrador de corta duración o uso de IP sospechoso
  • Habilitar la autenticación multifactor (MFA) para el acceso de administrador
  • Realizar una búsqueda exhaustiva de amenazas para detectar actividades sospechosas

 
Ver post completo