Fortinet ha revelado una vulnerabilidad crítica de día cero en su software FortiManager, identificada como CVE-2024-47575. Esta vulnerabilidad se está explotando activamente en la naturaleza.
Debido a la falta de autenticación para funciones críticas en el demonio FortiManager fgfmd, esta vulnerabilidad podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de una solicitud especialmente diseñada.
Esta falla tiene una puntuación CVSS v3 de 9,8, lo que destaca su gravedad y su posible impacto en los sistemas afectados.
Según el informe, esta vulnerabilidad se puede aprovechar para automatizar la extracción de archivos confidenciales como direcciones IP, credenciales y configuraciones de dispositivos administrados desde FortiManager.
El exploit no parece implicar la instalación de malware o puertas traseras en el sistema de bajo nivel, y no altera las bases de datos ni la conectividad de los dispositivos administrados.
Seminario web gratuito sobre cómo proteger su sitio web y sus API contra ciberataques -> Únase aquí
Sin embargo, el acceso no autorizado a datos confidenciales representa un riesgo de seguridad significativo para las organizaciones que utilizan FortiManager.
Versiones afectadas y mitigaciones
Esta vulnerabilidad afecta a múltiples versiones de FortiManager y FortiManager Cloud.
FortiManager: versiones 7.6.0, 7.4.0 – 7.4.4, 7.2.0 – 7.2.7, 7.0.0 – 7.0.12 y 6.4.0 – 6.4.14. FortiManager Cloud: versiones 7.4.1 – 7.4.4, 7.2 (todas las versiones) y 7.0 (todas las versiones).
Fortinet ha lanzado parches para estas versiones e insta a los usuarios a actualizar a versiones seguras de inmediato.
Además, hay soluciones alternativas disponibles en determinadas versiones, como evitar la inscripción de dispositivos desconocidos o utilizar certificados personalizados para la autenticación.
Fortinet recomienda tomar medidas inmediatas para proteger los sistemas afectados.
Actualización: instale el último parche para FortiManager o pase a una versión reparada si está utilizando FortiManager Cloud. Verifique su configuración: compare su configuración con una copia de seguridad realizada antes de la detección de IoC para asegurarse de que su configuración no haya sido manipulada. Cambiar credenciales: actualice contraseñas y datos confidenciales de usuario en todos los dispositivos administrados. Aislar el sistema comprometido: aísle el sistema FortiManager comprometido de Internet y configúrelo en modo fuera de línea para poder compararlo con la nueva configuración.
Esta vulnerabilidad de día cero resalta la importancia de aplicar parches oportunos y monitorear cuidadosamente las herramientas de administración de red como FortiManager, que son componentes críticos de la infraestructura de TI de muchas organizaciones.
Las organizaciones que utilizan FortiManager deben actuar rápidamente para mitigar los riesgos asociados con esta falla y proteger sus redes contra posibles vulnerabilidades.
Señales de compromiso
Fortinet proporciona varios indicadores de compromiso (IoC) para ayudar a las organizaciones a detectar si sus sistemas FortiManager se han visto comprometidos.
Entrada de registro que indica que se agregó un dispositivo no registrado. Direcciones IP específicas asociadas con actividad maliciosa: 45.32.41.202, 104.238.141.143, 158.247.199.37 y 45.32.63.2. Los archivos se encuentran en los directorios /tmp/.tm y /var/tmp/.tm.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
