Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en Fortinet 2024

24 Oct 2024

Fortinet lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Fortinet durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.

Tabla de contenidos

Vulnerabilidades en Fortinet 24 de octubre 2024

INTRODUCCIÓN

Se ha detectado la explotación de una vulnerabilidad de día cero (CVE-2024-47575) en FortiManager, una plataforma de Fortinet utilizada para la gestión centralizada de redes. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario y tomar control de los sistemas afectados, comprometiendo la seguridad de los dispositivos administrados. Google Cloud, previamente conocido como Mandiant, informó que esta vulnerabilidad ya ha sido utilizada activamente en ataques por un actor que han denominado UNC5820. Fortinet ha lanzado actualizaciones de seguridad y recomienda encarecidamente a los usuarios implementar parches y medidas de mitigación para prevenir ataques futuros.

ANÁLISIS

CVE-2024-47575 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:U/RC:C - 9.8:

Se ha detectado una falta de autenticación para una función crítica en el daemon fgfmd de múltiples versiones de FortiManager, que permite a un atacante ejecutar código o comandos arbitrarios a través de peticiones especialmente diseñadas.

VERSIONES AFECTADAS

  • FortiManager 7.6 - 7.6.0

  • FortiManager 7.4 - 7.4.0 a 7.4.4

  • FortiManager 7.2 - 7.2.0 a 7.2.7

  • FortiManager 7.0 - 7.0.0 a 7.0.12

  • FortiManager 6.4 - 6.4.0 a 6.4.14

  • FortiManager 6.2 - 6.2.0 a 6.2.12

  • FortiManager Cloud 7.4 - 7.4.1 a 7.4.4

  • FortiManager Cloud 7.2 - 7.2.1 a 7.2.7

  • FortiManager Cloud 7.0 - 7.0.1 a 7.0.12

  • FortiManager Cloud 6.4 - Todas las versiones

RECOMENDACIONES

Se recomienda actualizar a una versión corregida:

  • Actualice FortiManager 7.6 a la versión 7.6.1 o superior

  • Actualice FortiManager 7.4 a la versión 7.4.5 o superior

  • Actualice FortiManager 7.2 a la versión 7.2.8 o superior

  • Actualice FortiManager 7.0 a la versión 7.0.13 o superior

  • Actualice FortiManager 6.4 a la versión 6.4.15 o superior

  • Actualice FortiManager 6.2 a la versión 6.2.13 o superior

  • FortiManager Cloud 7.6 no está afectado

  • Actualice FortiManager Cloud 7.4 a la versión 7.4.5 o superior

  • Actualice FortiManager Cloud 7.2 a la versión 7.2.8 o superior

  • Actualice FortiManager Cloud 7.0 a la versión 7.0.13 o superior

  • FortiManager Cloud 6.4: Migre a una versión corregida

O en caso de que no sea posible, aplique una de las siguientes soluciones temporales recomendadas por Fortinet:

Para las versiones de FortiManager 7.0.12 o superior, 7.2.5 o superior, y 7.4.3 o superior (pero no 7.6.0): Impida que dispositivos desconocidos intenten registrarse ejecutando los siguientes comandos.

config system global
(global)# set fgfm-deny-unknown enable
(global)# end

Advertencia: Con esta configuración habilitada, si el número de serie (SN) de un FortiGate no está en la lista de dispositivos, FortiManager evitará que se conecte para registrarse, incluso si un dispositivo con PSK coincide.

Alternativamente, para las versiones de FortiManager 7.2.0 y superiores: Puede añadir políticas de "local-in" para permitir solo las direcciones IP de los FortiGates autorizados a conectarse. Ejemplo:

config system local-in-policy
edit 1
set action accept
set dport 541
set src <dirección_IP_autorizada>
next
edit 2
set dport 541
next
end

Para las versiones 7.2.2 y superiores, 7.4.0 y superiores, y 7.6.0 y superiores: También es posible utilizar un certificado personalizado para mitigar el problema:

config system global
set fgfm-ca-cert <nombre_del_certificado>
set fgfm-cert-exclusive enable
end

Después de configurar el certificado, instálelo en los FortiGates. Solo este certificado será válido, lo que actúa como una solución temporal, siempre que el atacante no pueda obtener un certificado firmado por esta CA a través de otro canal.

Por otro lado, Fortinet ha indicado en su nota, varios métodos para la recuperación de las instancias afectadas.

REFERENCIAS

https://fortiguard.fortinet.com/psirt/FG-IR-24-423 
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575 

Vulnerabilidades en Fortinet 10 de abril 2024

INTRODUCCIÓN

Fortinet ha publicado varios avisos que afectan a varios productos. En caso de explotación, estas vulnerabilidades podrían permitir a un atacante ejecutar código.

ANÁLISIS

CVE-2024-21755 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Una neutralización incorrecta de elementos especiales utilizados en un comando os ('os command injection') en Fortinet FortiSandbox permite a un atacante ejecutar código o comandos no autorizados a través de peticiones crafteadas.

CVE-2024-21756 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Una neutralización incorrecta de elementos especiales utilizados en un comando os ('os command injection') en Fortinet FortiSandbox permite a un atacante ejecutar código o comandos no autorizados a través de peticiones crafteadas.

CVE-2023-45590 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:

Una vulnerabilidad de Control Impropio de Generación de Código ('Inyección de Código') [CWE-94] en FortiClientLinux puede permitir a un atacante no autenticado ejecutar código arbitrario a través de engañar a un usuario de FortiClientLinux para que visite un sitio web malicioso.

CVE-2023-41677 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7.5:

Una vulnerabilidad de credenciales insuficientemente protegidas (CWE-522) en FortiOS y FortiProxy puede permitir a un atacante obtener la cookie del administrador en condiciones raras y específicas, a través de engañar al administrador para que visite un sitio web malicioso controlado por el atacante a través de la SSL-VPN.

VERSIONES AFECTADAS

  • FortiOS 7.4            7.4.0 a 7.4.1

  • FortiOS 7.2            7.2.0 a 7.2.6

  • FortiOS 7.0            7.0.0 a 7.0.12

  • FortiOS 6.4            6.4.0 a 6.4.14

  • FortiOS 6.2            6.2.0 a 6.2.15

  • FortiOS 6.0            6.0 todas las versiones

  • FortiProxy 7.4         7.4.0 a 7.4.1

  • FortiProxy 7.2         7.2.0 a 7.2.7

  • FortiProxy 7.0         7.0.0 a 7.0.13

  • FortiProxy 2.0         2.0 todas las versiones

  • FortiProxy 1.2         1.2 todas las versiones

  • FortiProxy 1.1         1.1 todas las versiones

  • FortiProxy 1.0         1.0 todas las versiones

  • FortiSandbox 4.4      4.4.0 a 4.4.3

  • FortiSandbox 4.2      4.2.0 a 4.2.6

  • FortiSandbox 4.0      4.0.0 a 4.0.4

  • FortiClientLinux 7.2  7.2.0

  • FortiClientLinux 7.0  7.0.6 a 7.0.10

  • FortiClientLinux 7.0  7.0.3 a 7.0.4

RECOMENDACIONES

  • FortiOS 7.4                 Actualice a la versión 7.4.2 o superior.

  • FortiOS 7.2                 Actualice a la versión 7.2.7 o superior

  • FortiOS 7.0                 Actualice a la versión 7.0.13 o superior

  • FortiOS 6.4                 Actualice a la versión 6.4.15 o superior

  • FortiOS 6.2                 Actualice a la versión 6.2.16 o superior

  • FortiOS 6.0                 Migre a una versión estable

  • FortiProxy 7.4             Actualice a la versión 7.4.2 o superior

  • FortiProxy 7.2             Actualice a la versión 7.2.8 o superior

  • FortiProxy 7.0             Actualice a la versión 7.0.14 o superior

  • FortiProxy 2.0             Migre a una versión estable

  • FortiProxy 1.2             Migre a una versión estable

  • FortiProxy 1.1             Migre a una versión estable

  • FortiProxy 1.0             Migre a una versión estable

  • FortiSandbox 4.4        Actualice a la versión 4.4.4 o superior

  • FortiSandbox 4.2        Actualice a la versión 4.2.7 o superior

  • FortiSandbox 4.0        Actualice a la versión 4.0.5 o superior

  • FortiClientLinux 7.2    Actualice a la versión 7.2.1 o superior

  • FortiClientLinux 7.0    Actualice a la versión 7.0.11 o superior

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-489

https://nvd.nist.gov/vuln/detail/CVE-2024-21755

https://nvd.nist.gov/vuln/detail/CVE-2024-21756 
https://www.fortiguard.com/psirt/FG-IR-23-087 

https://nvd.nist.gov/vuln/detail/CVE-2023-45590

https://www.fortiguard.com/psirt/FG-IR-23-493

https://nvd.nist.gov/vuln/detail/CVE-2023-41677

Vulnerabilidades en Fortinet 13 de marzo 2024

INTRODUCCIÓN

Este aviso de seguridad aborda múltiples vulnerabilidades críticas encontradas en varios productos de Fortinet. Estas vulnerabilidades, si son explotadas, podrían permitir a un atacante ejecutar código no autorizado o comandos, lo que representa un riesgo significativo para los usuarios afectados.

ANÁLISIS

CVE-2023-42789 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 9.3:

Una escritura fuera de límites en Fortinet FortiOS 7.4.0 a 7.4.1, 7.2.0 a 7.2.5, 7.0.0 a 7.0.12, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15, FortiProxy 7.4.0, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 2.0.0 a 2.0.13 permite a un atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas.

CVE-2023-42790 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 8.1:

Un desbordamiento de búfer basado en pila en Fortinet FortiOS 7.4.0 a 7.4.1, 7.2.0 a 7.2.5, 7.0.0 a 7.0.12, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15, FortiProxy 7.4.0, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 2.0.0 a 2.0.13 permiten a un atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas.

CVE-2023-47534 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H/E:P/RL:U/RC:R - 8.7:

Una neutralización inadecuada de elementos de fórmula en un archivo csv en Fortinet FortiClientEMS versión 7.2.0 hasta 7.2.2, 7.0.0 hasta 7.0.10, 6.4.0 hasta 6.4.9, 6.2.0 hasta 6.2.9, 6.0.0 hasta 6.0.8 permite al atacante ejecutar código o comandos no autorizados a través de paquetes especialmente diseñados.

CVE-2023-48788 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 9.3:

Una neutralización inadecuada de elementos especiales utilizados en un comando sql ("inyección sql") en Fortinet FortiClientEMS versión 7.2.0 a 7.2.2, FortiClientEMS 7.0.1 a 7.0.10 permite a un atacante ejecutar código o comandos no autorizados a través de paquetes especialmente diseñados.

CVE-2023-36554 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1:

Una vulnerabilidad de control de acceso incorrecto [`CWE-284]` en FortiWLM MEA para FortiManager puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes específicamente diseñadas.

VERSIONES AFECTADAS

  • FortiOS versión 7.4.0 a 7.4.1

  • FortiOS versión 7.2.0 a 7.2.5

  • FortiOS Versión 7.0.0 a 7.0.12

  • FortiOS versión 6.4.0 a 6.4.14

  • FortiOS versión 6.2.0 a 6.2.15

  • FortiProxy versión 7.4.0

  • FortiProxy versión 7.2.0 a 7.2.6

  • FortiProxy versión 7.0.0 a 7.0.12

  • FortiProxy versión 2.0.0 a 2.0.13

  • FortiClientEMS 7.2 a 7.2.2

  • FortiClientEMS 7.0 a 7.0.10

  • FortiClientEMS 6.4 todas las versiones

  • FortiClientEMS 6.2 todas las versiones

  • FortiClientEMS 6.0 todas las versiones

  • FortiManager versión 7.4.0

  • FortiManager versión 7.2.0 a 7.2.3

  • FortiManager versión 7.0.0 a 7.0.10

  • FortiManager versión 6.4.0 a 6.4.13

  • FortiManager 6.2 todas las versiones

RECOMENDACIONES

  • Actualizar a FortiOS versión 7.4.2 o superior

  • Actualizar a FortiOS versión 7.2.6 o superior

  • Actualizar a FortiOS versión 7.0.13 o superior

  • Actualizar a FortiOS versión 6.4.15 o superior

  • Actualizar a FortiOS versión 6.2.16 o superior

  • Actualizar a FortiProxy versión 7.4.1 o superior

  • Actualizar a FortiProxy versión 7.2.7 o superior

  • Actualizar a FortiProxy versión 7.0.13 o superior

  • Actualizar a FortiProxy versión 2.0.14 o superior

  • Actualizar a FortiClientEMS 7.2.3 o superior

  • Actualizar a FortiClientEMS 7.0.11 o superior

  • Migrar FortiClientEMS 6.0, 6.2 y 6.4 a una versión fija

  • Actualizar a FortiManager versión 7.4.1 o superior

  • Actualizar a FortiManager versión 7.2.4 o superior

  • Actualizar a FortiManager versión 7.0.11 o superior

  • Actualizar a FortiManager versión 6.4.14 o superior

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-328 
https://www.fortiguard.com/psirt/FG-IR-23-390 
https://www.fortiguard.com/psirt/FG-IR-23-430 

https://www.fortiguard.com/psirt/FG-IR-23-103

https://www.fortiguard.com/psirt/FG-IR-24-007 
https://nvd.nist.gov/vuln/detail/CVE-2023-42789 
https://nvd.nist.gov/vuln/detail/CVE-2023-42790 
https://nvd.nist.gov/vuln/detail/CVE-2023-47534  
https://nvd.nist.gov/vuln/detail/CVE-2023-48788 
https://nvd.nist.gov/vuln/detail/CVE-2023-36554

Vulnerabilidades en Fortinet 9 de febrero 2024

INTRODUCCIÓN

Fortinet ha publicado siete avisos de seguridad entre los que se encuentran dos vulnerabilidades críticas que afectan a FortiOS: CVE-2024-21762 y CVE-2024-23113.

S2 Grupo tiene constancia de que la vulnerabilidad identificada como CVE-2024-21762, una escritura fuera de límites en sslvpnd, ha sido explotada desde finales de enero. Además, Fortinet indica que deshabilitar el componente SSL VPN es una solución temporal válida.

ANÁLISIS

CVE-2024-21762  AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:W/RC:C - 9.6:

Una vulnerabilidad de escritura fuera de límites [CWE-787] en FortiOS puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de peticiones HTTP especialmente diseñadas. Esta vulnerabilidad ha sido explotada en la naturaleza.

CVE-2024-23113  AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:U/RC:C - 9.8:

Una vulnerabilidad de uso de cadena de formato controlada externamente [CWE-134] en el demonio fgfmd de FortiOS puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.

CVE-2023-45581  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:U - 7.9:

Una vulnerabilidad de gestión de privilegios incorrecta [CWE-269] en la interfaz administrativa gráfica de FortiClientEMS puede permitir que un administrador de sitio con privilegios de Super Admin realice operaciones administrativas globales que afecten a otros sitios a través de solicitudes HTTP o HTTPS manipuladas.

VERSIONES AFECTADAS

CVE-2024-21762:

  • FortiOS de la versión 7.4.0 a la 7.4.2

  • FortiOS de la versión 7.2.0 a la 7.2.6

  • FortiOS de la versión 7.0.0 a la 7.0.13

  • FortiOS de la versión 6.4.0 a la 6.4.14

  • FortiOS de la versión 6.2.0 a la 6.2.15

  • FortiOS 6.0 todas las versiones

CVE-2024-23113:

  • FortiOS de la versión 7.4.0 a la 7.4.2

  • FortiOS de la versión 7.2.0 a la 7.2.6

  • FortiOS de la versión 7.0.0 a la 7.0.13

CVE-2023-45581:

  • FortiClientEMS de la versión 7.2.0 a la 7.2.2

  • FortiClientEMS de la versión 7.0.6 a la 7.0.10

  • FortiClientEMS de la versión 7.0.0 a la 7.0.4

  • FortiClientEMS 6.4 todas las versiones

  • FortiClientEMS 6.2 todas las versiones

RECOMENDACIONES

CVE-2024-21762:

  • Actualice a FortiOS 7.6, ya que no está afectado por esta vulnerabilidad.

  • Actualice FortiOS a 7.4.3 o superior

  • Actualice FortiOS a 7.2.7 o superior

  • Actualice FortiOS a 7.0.14 o superior

  • Actualice FortiOS a 6.4.15 o superior

  • Actualice FortiOS a 6.2.16 o superior

  • Para versiones en el rango de FortiOS 6.0, actualice a una de las versiones fijas mencionadas anteriormente.

Solución temporal:

Desactive SSL VPN. Fortinet ha especificado que desactivar el modo web NO es una solución válida.

CVE-2024-23113:

  • Actualice FortiOS a 7.4.3 o superior

  • Actualice FortiOS a 7.2.7 o superior

  • Actualice FortiOS a 7.0.14 o superior

CVE-2023-45581:

  • Actualice FortiClientEMS a 7.2.3 o superior

  • Actualice FortiClientEMS a 7.0.11 o superior

  • Actualice FortiClientEMS a 7.0.11 o superior

  • Para versiones en el rango de FortiClientEMS 6.2 o FortiClientEMS 6.4, actualice a una de las versiones fijas mencionadas anteriormente.

REFERENCIAS

https://www.fortiguard.com/psirt/FG-IR-24-015 
https://www.fortiguard.com/psirt/FG-IR-24-029 
https://www.fortiguard.com/psirt/FG-IR-23-357 
https://nvd.nist.gov/vuln/detail/CVE-2024-23113 
https://nvd.nist.gov/vuln/detail/CVE-2023-45581 
https://nvd.nist.gov/vuln/detail/CVE-2024-21762 

Vulnerabilidades en Fortinet 8 de febrero 2024

INTRODUCCIÓN

Fortinet ha actualizado un aviso de seguridad de octubre 2023 para introducir dos nuevas vulnerabilidades críticas.

ANÁLISIS

CVE-2024-23108 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo en Fortinet FortiSIEM permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.

CVE-2024-23109 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo en Fortinet FortiSIEM permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.

VERSIONES AFECTADAS

  • FortiSIEM versiones 7.1.0 a 7.1.1

  • FortiSIEM versiones 7.0.0 a 7.0.2

  • FortiSIEM versiones 6.7.0 a 6.7.8

  • FortiSIEM versiones 6.6.0 a 6.6.3

  • FortiSIEM versiones 6.5.0 a 6.5.2

  • FortiSIEM versiones 6.4.0 a 6.4.2

RECOMENDACIONES

  • Actualice a FortiSIEM versión 7.1.2 o superior.

  • Actualice a la próxima versión de FortiSIEM 7.2.0 o superior.

  • Actualice a la próxima versión de FortiSIEM 7.0.3 o superior.

  • Actualice a la próxima versión de FortiSIEM 6.7.9 o superior.

  • Actualice a la próxima versión de FortiSIEM 6.6.5 o superior.

  • Actualice a la próxima versión de FortiSIEM 6.5.3 o superior.

  • Actualice a la próxima versión de FortiSIEM 6.4.4 o superior.

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-130 
https://nvd.nist.gov/vuln/detail/CVE-2024-23108 
https://nvd.nist.gov/vuln/detail/CVE-2024-23109 

Artículos relacionados
Ver todas →
Alertas
Campaña phishing AEAT y Ministerio de Interior
Leer más →
Alertas
Nueva campaña de infección de Emotet
Leer más →
Alertas
Vulnerabilidad crítica en vCenter Server
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día