Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidad crítica explotada en Fortinet

15 Jan 2025

INTRODUCCIÓN:

Fortinet ha revelado una vulnerabilidad crítica de omisión de autenticación (CVE-2024-55591) en FortiOS y FortiProxy, calificada con un CVSS de 9.6. Esta falla permite a atacantes remotos obtener acceso de superadministrador mediante solicitudes manipuladas. La vulnerabilidad está siendo explotada activamente, aunque no se ha identificado públicamente a los responsables. Esta alerta contiene de Fortinet contiene múltiples indicadores de compromiso (IOC) que se pueden utilizar para comprobar posible actividad maliciosa. Algunos de estos IOC coinciden con los publicados por investigadores de Artic Wolf recientemente.

ANÁLISIS:

CVE-2024-55591 CVSS:3.1:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.6:

Una vulnerabilidad de elusión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir a un atacante remoto obtener privilegios de superadministrador mediante solicitudes manipuladas al módulo websocket de Node.js.

VERSIONES AFECTADAS:

Fortinet FortiOS afectado desde 7.0.0 hasta 7.0.16
Fortinet FortiProxy afectado desde 7.2.0 hasta 7.2.12
Fortinet FortiProxy afectado desde 7.0.0 hasta 7.0.19

RECOMENDACIONES:

Actualice a las siguientes versiones:

Desde FortiOS 7.0, actualice a FortiOS 7.0.17 o superior.
Desde FortiProxy 7.2, actualice a 7.2.13 o superior
Desde FortiProxy 7.0, actualice a la versión 7.0.20 o superior.

Además, Fortinet recomienda otras medidas en su aviso:

Primera solución alternativa:
Deshabilite la interfaz administrativa HTTP/HTTPS

Segunda solución alternativa:
Limita las direcciones IP que pueden llegar a la interfaz administrativa a través de políticas local-in:

config firewall address
edit "my_allowed_addresses"
set subnet
end

A continuación, cree un Grupo de direcciones:

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

Cree la Política Local en para restringir el acceso sólo al grupo predefinido en la interfaz de gestión (aquí: puerto1):

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next

edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

Si utiliza puertos no predeterminados, cree el objeto de servicio adecuado para el acceso administrativo a la interfaz gráfica de usuario:

config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next

edit GUI_HTTP
set tcp-portrange 80
end

REFERENCIAS:

https://www.fortiguard.com/psirt/FG-IR-24-535
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad en el Firewall web (WAF) de Fortinet
Leer más →
Alertas
Vulnerabilidad crítica en los módulos WAF y ASM de BIG-IP
Leer más →
Alertas
Vulnerabilidad de ejecución remota de código en APACHE Dubbo
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día