Fortinet revela falla crítica de seguridad en FortiOS SSL VPN siendo explotada por actores desconocidos. La vulnerabilidad, CVE-2024-21762 con una puntuación CVSS de 9,6, permite la ejecución de código y comandos arbitrarios. Fortinet reconoce que esta vulnerabilidad está siendo aprovechada en ambientes salvajes, aunque no se sabe por quién. La compañía ha emitido un boletín donde explica que ‘CWE-787‘, una vulnerabilidad de escritura fuera de límites en FortiOS, permite a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes HTTP especialmente diseñadas.
Las versiones afectadas son FortiOS 7.4 (versiones 7.4.0 hasta 7.4.2), 7.2 (versiones 7.2.0 hasta 7.2.6), 7.0 (versiones 7.0.0 hasta 7.0.13), 6.4 (versiones 6.4.0 hasta 6.4.14), 6.2 (versiones 6.2.0 hasta 6.2.15) y 6.0 (todas las versiones 6.0). Es importante mencionar que FortiOS 7.6 no está afectado. Fortinet ha emitido parches para los CVE-2024-23108 y CVE-2024-23109 en el supervisor de FortiSIEM, que permitían a atacantes remotos no autenticados ejecutar comandos no autorizados a través de solicitudes API diseñadas.
La compañía informó que varias organizaciones son vulnerables a ataques de múltiples grupos de actividades que explotan las vulnerabilidades de N-día en su software, como CVE-2022-42475 y CVE-2023-27997. Dichos grupos atacan a gobiernos, proveedores de servicios, consultoras, empresas manufactureras y organizaciones críticas de infraestructura. Anteriormente, actores de amenazas chinos han relacionado la explotación de vulnerabilidades de día cero en dispositivos Fortinet para entregar una amplia gama de implantes. Actualmente, sigue un aviso del gobierno de EE. UU. sobre un grupo estatal chino llamado Volt Typhoon, que ha atacado infraestructuras críticas en el país aprovechando fallas conocidas y de día cero en varios dispositivos de redes.
Los ataques cibernéticos como este subrayan la creciente amenaza que enfrentan los dispositivos perimetrales de cara a Internet en los últimos años, debido al hecho de que tales tecnologías carecen de soporte de detección y respuesta (EDR) de puntos finales, lo que los hace propicios al abuso. Si nada más, las campañas llevadas a cabo por China y Rusia indican el creciente peligro de los dispositivos perimetrales de cara a Internet. Fortinet alertó que estas campañas demuestran el uso de vulnerabilidades de N-día ya resueltas y las técnicas subsiguientes, muy indicativas del comportamiento empleado por el actor o grupo de actores conocido como Volt Typhoon.
Vía The Hacker News
