24 de octubre de 2024Ravie LakshmananVulnerabilidad/seguridad de red Fortinet ha confirmado los detalles de una falla de seguridad crítica que afecta a FortiManager y que ha sido objeto de explotación activa en la naturaleza. Registrada como CVE-2024-47575 (puntuación CVSS: 9,8), la vulnerabilidad también se conoce como FortiJump y tiene sus raíces en el protocolo FortiGate to FortiManager (FGFM). “Falta una autenticación para una vulnerabilidad de función crítica [CWE-306] en el demonio fgfmd de FortiManager puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes especialmente diseñadas”, dijo la compañía en un aviso del miércoles. La deficiencia afecta las versiones 7.x, 6.x, FortiManager Cloud 7.x y 6.x También afecta a los modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G y 3900E que tienen al menos una interfaz con el servicio fgfm habilitado y la siguiente configuración activada. config system global set fmg-status enable end Fortinet también ha proporcionado dos soluciones para la falla dependiendo de la versión actual de FortiManager instalada: versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior, 7.4.3 o superior: Prevenir dispositivos desconocidos para intentar registrar FortiManager versiones 7.2.0 y superiores: agregue políticas de entrada local para incluir en la lista de direcciones IP de FortiGates que pueden conectarse a FortiManager versiones 7.2.2 y superiores, 7.4.0 y superiores, 7.6.0 y superiores : Utilice un certificado personalizado Según runZero, una explotación exitosa requiere que los atacantes estén en posesión de un certificado de dispositivo Fortinet válido, aunque señaló que dichos certificados podrían obtenerse de un dispositivo Fortinet existente y reutilizarse. “Las acciones identificadas de este ataque en la naturaleza han sido automatizar mediante un script la exfiltración de varios archivos del FortiManager que contenían las IP, credenciales y configuraciones de los dispositivos administrados”, dijo la compañía. Sin embargo, enfatizó que la vulnerabilidad no se ha utilizado como arma para implementar malware o puertas traseras en sistemas FortiManager comprometidos, ni hay evidencia de bases de datos o conexiones modificadas. El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar el defecto a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que requiere que las agencias federales apliquen las correcciones antes del 13 de noviembre de 2024. Fortinet también compartió la siguiente declaración con The Hacker Noticias: después de identificar esta vulnerabilidad (CVE-2024-47575), Fortinet comunicó rápidamente información y recursos críticos a los clientes. Esto está en línea con nuestros procesos y mejores prácticas de divulgación responsable para permitir a los clientes fortalecer su postura de seguridad antes de que se publique un aviso a una audiencia más amplia, incluidos los actores de amenazas. También publicamos el aviso público correspondiente (FG-IR-24-423) reiterando la orientación de mitigación, incluida una solución alternativa y actualizaciones de parches. Instamos a los clientes a seguir las instrucciones proporcionadas para implementar las soluciones y correcciones y continuar rastreando nuestra página de asesoramiento para obtener actualizaciones. Seguimos coordinándonos con las agencias gubernamentales internacionales apropiadas y las organizaciones de amenazas de la industria como parte de nuestra respuesta continua. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.