Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidades en Fortinet 2025

15 Ene 2025

Vulnerabilidad 15/01.

INTRODUCCIÓN:

Fortinet ha revelado una vulnerabilidad crítica de omisión de autenticación (CVE-2024-55591) en FortiOS y FortiProxy, calificada con un CVSS de 9.6. Esta falla permite a atacantes remotos obtener acceso de superadministrador mediante solicitudes manipuladas. La vulnerabilidad está siendo explotada activamente, aunque no se ha identificado públicamente a los responsables. Esta alerta contiene de Fortinet contiene múltiples indicadores de compromiso (IOC) que se pueden utilizar para comprobar posible actividad maliciosa. Algunos de estos IOC coinciden con los publicados por investigadores de Artic Wolf recientemente.

ANÁLISIS:

CVE-2024-55591 CVSS:3.1:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.6:

Una vulnerabilidad de elusión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir a un atacante remoto obtener privilegios de superadministrador mediante solicitudes manipuladas al módulo websocket de Node.js.

VERSIONES AFECTADAS:

Fortinet FortiOS afectado desde 7.0.0 hasta 7.0.16
Fortinet FortiProxy afectado desde 7.2.0 hasta 7.2.12
Fortinet FortiProxy afectado desde 7.0.0 hasta 7.0.19

RECOMENDACIONES:

Actualice a las siguientes versiones:

Desde FortiOS 7.0, actualice a FortiOS 7.0.17 o superior.
Desde FortiProxy 7.2, actualice a 7.2.13 o superior
Desde FortiProxy 7.0, actualice a la versión 7.0.20 o superior.

Además, Fortinet recomienda otras medidas en su aviso:

Primera solución alternativa:
Deshabilite la interfaz administrativa HTTP/HTTPS

Segunda solución alternativa:
Limita las direcciones IP que pueden llegar a la interfaz administrativa a través de políticas local-in:

config firewall address
edit "my_allowed_addresses"
set subnet
end

A continuación, cree un Grupo de direcciones:

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

Cree la Política Local en para restringir el acceso sólo al grupo predefinido en la interfaz de gestión (aquí: puerto1):

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next

edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

Si utiliza puertos no predeterminados, cree el objeto de servicio adecuado para el acceso administrativo a la interfaz gráfica de usuario:

config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next

edit GUI_HTTP
set tcp-portrange 80
end

REFERENCIAS:

https://www.fortiguard.com/psirt/FG-IR-24-535
https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/

Vulnerabilidad 12/02

Introducción

La vulnerabilidad CVE-2025-24472 es una vulnerabilidad de ejecución remota de código que afecta varios productos de Fortinet, incluyendo FortiOS y FortiProxy. Según el vector CVSS, la vulnerabilidad tiene un puntaje de 8.1 en escala de severidad.

Análisis

CVE-2025-24472 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:X/RC:C - 8.1

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en una máquina vulnerable, lo que puede llevar a una pérdida de control total del sistema.

Versiones Afectadas

  • FortiOS versiones hasta 7.0.16

  • FortiProxy versiones hasta 7.2.12 y 7.0.19

Recomendaciones

  • Actualizar FortiOS a versión 7.0.17 o superior

  • Actualizar FortiProxy a versión 7.2.13 o superior

  • Verificar si hay actualizaciones disponibles para los productos afectados en su sistema y aplicarlas con la mayor brevedad posible.

Referencias

  • https://cve.org/CVERecord?id=cve-2025-24472

  • https://fortiguard.fortinet.com/psirt/FG-IR-24-535

Vulnerabilidad 09/04

Introducción

Se ha detectado una vulnerabilidad crítica en la interfaz de usuario gráfica (GUI) de FortiSwitch, que permite a un atacante remoto no autenticado cambiar contraseñas de administrador mediante una solicitud especialmente diseñada. Esta vulnerabilidad, conocida como CVE-2024-48887, tiene un puntaje de CVSS de 9.3, lo que la hace extremadamente crítica. La vulnerabilidad afecta a varias versiones de FortiSwitch, incluyendo FortiSwitch 7.6.0, FortiSwitch 7.4.0 a 7.4.4, FortiSwitch 7.2.0 a 7.2.8 y FortiSwitch 7.0.0 a 7.0.10.

Análisis

CVE-2024-48887 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:C - 9.3

CVE-2024-48887 es una vulnerabilidad de cambio de contraseña no verificada en la interfaz de usuario gráfica (GUI) de FortiSwitch que permite a un atacante remoto no autenticado cambiar contraseñas de administrador mediante una solicitud especialmente diseñada.

Versiones afectadas

La vulnerabilidad afecta a varias versiones de FortiSwitch, incluyendo:

  • FortiSwitch 7.6.0

  • FortiSwitch 7.4.0 a 7.4.4

  • FortiSwitch 7.2.0 a 7.2.8

  • FortiSwitch 7.0.0 a 7.0.10

Recomendaciones

Se recomienda actualizar a las versiones más recientes de FortiSwitch para corregir esta vulnerabilidad. 

Workarounds

Se recomienda deshabilitar el acceso HTTP/HTTPS desde las interfaces administrativas y configurar los hosts confiables para limitar los hosts que pueden conectarse al sistema.

Referencias

  • https://cve.org/CVERecord?id=CVE-2024-48887

  • https://fortiguard.fortinet.com/psirt/FG-IR-24-435

Artículos relacionados
Vulnerabilidades en SureTriggers 2025
Leer más →
Fundación LAB Mediterráneo se reúne en nuestra sede para abordar los retos estratégicos de la ciberseguridad
Leer más →
Vulnerabilidades CrushFTP 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día