Ciberseguridad 360 | Vulnerabilidad crítica en FortiOS SSL VPN bajo explotación activa

Fortinet ha revelado un nuevo fallo de seguridad cr�tico en FortiOS SSL VPN que, seg�n afirma, es probable que est� siendo explotado.

La vulnerabilidad, CVE-2024-21762 (puntuaci�n CVSS: 9,6), permite la ejecuci�n de c�digo y comandos arbitrarios.

"Una vulnerabilidad de escritura fuera de los l�mites [CWE-787] en FortiOS puede permitir a un atacante remoto no autenticado ejecutar c�digo o comandos arbitrarios a trav�s de peticiones HTTP especialmente dise�adas", dijo la compa��a en un bolet�n publicado el jueves.

Adem�s, reconoci� que el problema es "potencialmente explotado en la naturaleza", sin dar m�s detalles acerca de c�mo est� siendo utilizado y por qui�n.

Las siguientes versiones est�n afectadas por la vulnerabilidad. Vale la pena se�alar que FortiOS 7.6 no est� afectado.

FortiOS 7.4 (versiones 7.4.0 a 7.4.2) - Actualizaci�n a 7.4.3 o superior
FortiOS 7.2 (versiones 7.2.0 a 7.2.6) - Actualizaci�n a 7.2.7 o superior
FortiOS 7.0 (versiones 7.0.0 a 7.0.13) - Actualizaci�n a 7.0.14 o superior
FortiOS 6.4 (versiones 6.4.0 a 6.4.14) - Actualizaci�n a 6.4.15 o superior
FortiOS 6.2 (versiones 6.2.0 a 6.2.15) - Actualizaci�n a 6.2.16 o superior
FortiOS 6.0 (versiones 6.0 todas las versiones) - Migrar a una versi�n fija

El desarrollo se produce cuando Fortinet emiti� parches para CVE-2024-23108 y CVE-2024-23109, que afectaban al supervisor FortiSIEM, permitiendo a un atacante remoto no autenticado ejecutar comandos no autorizados a trav�s de peticiones API crafteadas.

A principios de esta semana, el gobierno de los Pa�ses Bajos revel� que una red inform�tica utilizada por las fuerzas armadas fue infiltrada por actores chinos patrocinados por el estado mediante la explotaci�n de fallos conocidos en los dispositivos Fortinet FortiGate para entregar una puerta trasera llamada COATHANGER.

La empresa, en un informe publicado esta semana, divulg� que vulnerabilidades de seguridad N-day en su software, como CVE-2022-42475 y CVE-2023-27997, est�n siendo explotadas por m�ltiples grupos de actividad para atacar a gobiernos, proveedores de servicios, consultor�as, fabricaci�n y grandes organizaciones de infraestructuras cr�ticas.

Anteriormente, los actores de amenazas chinos han estado vinculados a la explotaci�n de d�a cero de fallos de seguridad en dispositivos Fortinet para distribuir una amplia gama de implantes, como BOLDMOVE, THINCRUST y CASTLETAP.

Tambi�n sigue a un aviso del gobierno de EE.UU sobre un grupo de estado-naci�n chino apodado Volt Typhoon, que se ha dirigido a infraestructuras cr�ticas del pa�s para persistir a largo plazo sin ser descubierto aprovechando fallos conocidos y de zero-day en dispositivos de red como los de Fortinet, Ivanti Connect Secure, NETGEAR, Citrix y Cisco para el acceso inicial.

China, que ha negado las acusaciones, acus� a Estados Unidos de llevar a cabo sus propios ciberataques.

En todo caso, las campa�as llevadas a cabo por China y Rusia ponen de relieve la creciente amenaza a la que se enfrentan los dispositivos perif�ricos orientados a Internet en los �ltimos a�os debido al hecho de que estas tecnolog�as carecen de soporte de detecci�n y respuesta de puntos finales (EDR), lo que las hace propicias para el abuso.

"Estos ataques demuestran el uso de vulnerabilidades N-day ya resueltas y t�cnicas subsiguientes [living-off-the-land], que son altamente indicativas del comportamiento empleado por el ciberactor o grupo de actores conocido como Volt Typhoon, que ha estado utilizando estos m�todos para atacar infraestructuras cr�ticas y potencialmente a otros actores adyacentes", dijo Fortinet.

Fuente: thehackernews