Fortinet: falla crítica en FortiManager explotada en ataques de día cero

Iniciado por Dragora, Octubre 23, 2024, 10:10:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Fortinet ha sido centro de atención en la industria de la ciberseguridad debido a una reciente vulnerabilidad crítica en su producto FortiManager, que ha sido explotada en ataques de día cero. Esta falla, identificada como CVE-2024-47575 y con una calificación de gravedad de 9.8 sobre 10, ha puesto en alerta a empresas y administradores de redes que utilizan esta herramienta esencial para la gestión de dispositivos FortiGate.

Explotación de la vulnerabilidad de FortiManager

Los administradores de dispositivos Fortinet han compartido que esta vulnerabilidad ha sido aprovechada por atacantes durante un tiempo considerable, incluso antes de que se enviaran notificaciones oficiales a los clientes. Un usuario en Reddit mencionó que su empresa fue atacada semanas antes de recibir un aviso formal, lo que indica la naturaleza de día cero de la vulnerabilidad.

Fortinet, en su comunicado público, ha confirmado que la vulnerabilidad afecta al protocolo FortiGate to FortiManager (FGFM), que facilita la administración remota de dispositivos FortiGate a través de FortiManager. Esta brecha permite que un atacante remoto no autenticado ejecute comandos arbitrarios mediante solicitudes diseñadas específicamente.

Dispositivos afectados y actualizaciones de seguridad

La vulnerabilidad impacta múltiples versiones de FortiManager, incluidas las versiones locales y en la nube. Entre las versiones afectadas están las 7.6, 7.4, 7.2, 7.0 y 6.4 de FortiManager. Fortinet ya ha lanzado parches de seguridad para corregir esta vulnerabilidad en las versiones más recientes, como la 7.2.8 y la 7.4.5. Las actualizaciones para otras versiones se esperan en los próximos días.

Los administradores de FortiManager deben aplicar estas actualizaciones de inmediato para mitigar el riesgo. Fortinet también ha ofrecido soluciones temporales, como el comando set fgfm-deny-unknown enable, que previene que dispositivos no autorizados se conecten al servidor FortiManager. Asimismo, recomienda la creación de listas de IP permitidas y el uso de certificados personalizados para establecer conexiones seguras.

Explotación de la vulnerabilidad para el robo de datos

Uno de los objetivos principales de los ataques ha sido el robo de datos críticos de los servidores FortiManager. Los atacantes han utilizado la vulnerabilidad para extraer información como direcciones IP, credenciales y configuraciones de dispositivos gestionados, que podrían ser utilizados para comprometer redes corporativas y servicios de proveedores de servicios administrados (MSP). Sin embargo, hasta el momento, no se ha reportado la instalación de malware en los servidores comprometidos.

Fortinet ha compartido Indicadores de Compromiso (IOC) para ayudar a los administradores de seguridad a detectar si sus sistemas FortiManager han sido violados. Entre estos, se destaca la aparición de dispositivos no registrados con el nombre "localhost" en los registros de FortiManager, así como la ejecución de comandos de API que permiten a los atacantes añadir estos dispositivos fraudulentos.

Prevención y mitigación de ataques futuros

La compañía ha ofrecido medidas proactivas para mitigar posibles explotaciones en el futuro. Además de las actualizaciones de software mencionadas anteriormente, Fortinet recomienda que los administradores configuren listas de control de acceso estrictas y monitoreen los registros de actividad para detectar comportamientos sospechosos.

Es importante destacar que la exposición de los puertos FGFM en dispositivos conectados a Internet ha sido uno de los principales factores que facilitó los ataques. Una búsqueda en Shodan realizada por el investigador de ciberseguridad Kevin Beaumont reveló que más de 59,000 dispositivos FortiManager con puertos FGFM están expuestos en línea, lo que los convierte en blancos fáciles para los atacantes. La mayoría de estos dispositivos se encuentran en los Estados Unidos, lo que subraya la necesidad de limitar la exposición de estos servicios a la red pública.

Críticas a la transparencia de Fortinet

La forma en que Fortinet manejó la divulgación de esta vulnerabilidad ha sido objeto de críticas por parte de la comunidad de ciberseguridad. Algunos clientes han expresado frustración por no haber recibido las notificaciones privadas a tiempo, lo que los dejó vulnerables durante semanas. Fortinet ha defendido su proceso, indicando que se priorizó la divulgación responsable para permitir a los clientes reforzar su seguridad antes de hacer pública la información. Sin embargo, esta no es la primera vez que Fortinet es criticado por su falta de transparencia en la divulgación de vulnerabilidades críticas. Casos anteriores, como las vulnerabilidades SSL-VPN de FortiOS en 2022 y 2023, siguieron un patrón similar.

En fin, la vulnerabilidad CVE-2024-47575 en FortiManager destaca la creciente importancia de mantener actualizados los sistemas de gestión de redes y aplicar medidas de seguridad proactivas. Las organizaciones que utilizan FortiManager deben actuar rápidamente para proteger sus entornos de TI, aplicar las actualizaciones correspondientes y revisar las configuraciones de seguridad para evitar ser víctimas de ataques similares en el futuro. La gestión eficiente de vulnerabilidades y la comunicación clara entre proveedores y clientes son esenciales para mitigar los riesgos asociados con las fallas de día cero.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta