Los administradores de FortiGate informan de una explotación activa del día 0. El vendedor no habla.

Heaven32 Comments
Los administradores de FortiGate informan de una explotación activa del día 0. El vendedor no habla.

Fortinet, un fabricante de software de seguridad de red, ha mantenido en secreto una vulnerabilidad crítica durante más de una semana en medio de informes de que los atacantes la están utilizando para ejecutar código malicioso en servidores utilizados por organizaciones de clientes sensibles.

Los representantes de Fortinet no respondieron a las preguntas enviadas por correo electrónico y aún no han publicado ningún tipo de aviso público que detalle la vulnerabilidad o el software específico afectado. La falta de transparencia es consistente con los días cero anteriores que han sido explotados contra los clientes de Fortinet. Sin una fuente autorizada de información, los clientes, periodistas y otras personas tienen pocas vías de información aparte de las publicaciones en las redes sociales donde se discuten los ataques.

RCE significa ejecución remota de código

Según un Reddit correola vulnerabilidad afecta a FortiManager, una herramienta de software para gestionar todo el tráfico y los dispositivos en la red de una organización. Las versiones específicas vulnerables, según la publicación, incluyen versiones de FortiManager:

  • 7.6.0 y anteriores
  • 7.4.4 y siguientes
  • 7.2.7 y siguientes
  • 7.0.12 y anteriores
  • 6.4.14 y anteriores

Los usuarios de estas versiones pueden protegerse instalando las versiones 7.6.1 o superior, 7.4.5 o superior, 7.2.8 o superior, 7.0.13 o superior, o 6.4.15 o superior. Hay informes de que FortiManager Cloud, basado en la nube, también es vulnerable.

Algunos administradores de redes impulsadas por FortiGate informan haber recibido correos electrónicos de la empresa notificándoles las actualizaciones disponibles y consejos para instalarlas. Otros dicen que no recibieron ese tipo de correos electrónicos. Fortigate no ha publicado ningún tipo de aviso público ni una designación CVE para que los profesionales de la seguridad realicen un seguimiento del día cero.

La vulnerabilidad se ha discutido desde al menos el 13 de octubre. Según el investigador independiente Kevin Beaumont, el error de seguridad se debe a una configuración predeterminada de FortiManager que permite que dispositivos con números de serie desconocidos o no autorizados se registren en el panel de FortiManager de una organización. Los detalles precisos aún no están claros, pero un comentario ahora eliminado en Reddit indicó que el día cero permite a los atacantes “robar un certificado Fortigate de cualquier Fortigate, registrarse en su FortiManager y obtener acceso a él”.

Citando el comentario de Reddit, Beaumont recurrió a Mastodon para explicar: “La gente está publicando abiertamente lo que está sucediendo en Reddit ahora, los actores de amenazas están registrando FortiGates no autorizados en FortiManager con nombres de host como ‘localhost’ y usándolos para obtener RCE”.