Fortinet ha revelado una nueva falla de seguridad crítica en FortiOS SSL VPN que, según dijo, probablemente esté siendo explotada en la naturaleza.
La vulnerabilidad, CVE-2024-21762 (Puntuación CVSS: 9,6), permite la ejecución de código y comandos arbitrarios.
«Una vulnerabilidad de escritura fuera de límites [CWE-787] en FortiOS puede permitir que un atacante remoto no autenticado ejecute código o comando arbitrario a través de solicitudes HTTP especialmente diseñadas», la compañía dicho en un boletín publicado el jueves.
Reconoció además que el problema está «potencialmente siendo explotado en la naturaleza», sin dar detalles adicionales sobre cómo y quién lo está utilizando como arma.
Las siguientes versiones se ven afectadas por la vulnerabilidad. Vale la pena señalar que FortiOS 7.6 no se ve afectado.
- FortiOS 7.4 (versiones 7.4.0 a 7.4.2): actualice a 7.4.3 o superior
- FortiOS 7.2 (versiones 7.2.0 a 7.2.6): actualice a 7.2.7 o superior
- FortiOS 7.0 (versiones 7.0.0 a 7.0.13): actualice a 7.0.14 o superior
- FortiOS 6.4 (versiones 6.4.0 a 6.4.14): actualice a 6.4.15 o superior
- FortiOS 6.2 (versiones 6.2.0 a 6.2.15): actualice a 6.2.16 o superior
- FortiOS 6.0 (versiones 6.0 todas las versiones): migrar a una versión fija
El desarrollo se produce cuando Fortinet emitió parches para CVE-2024-23108 y CVE-2024-23109, que afectan al supervisor FortiSIEM y permiten que un atacante remoto no autenticado ejecute comandos no autorizados a través de solicitudes API diseñadas.
A principios de esta semana, el gobierno de los Países Bajos reveló que una red informática utilizada por las fuerzas armadas fue infiltrada por actores patrocinados por el estado chino mediante la explotación de fallas conocidas en los dispositivos Fortinet FortiGate para ofrecer una puerta trasera llamada COATHANGER.
La compañía, en un informe publicado esta semana, divulgó que las vulnerabilidades de seguridad del día N en su software, como CVE-2022-42475 y CVE-2023-27997, están siendo explotadas por múltiples grupos de actividades para atacar a gobiernos, proveedores de servicios y consultorías. , manufactura y grandes organizaciones de infraestructura crítica.
Anteriormente, los actores de amenazas chinos han sido vinculados a la explotación de día cero de fallas de seguridad en dispositivos Fortinet para entregar una amplia gama de implantes, como BOLDMOVE, THINCRUST y CASTLETAP.
También sigue a un aviso del gobierno de EE. UU. sobre un grupo de estado-nación chino denominado Volt Typhoon, que se ha centrado en infraestructura crítica en el país para una persistencia no descubierta a largo plazo aprovechando fallas conocidas y de día cero en dispositivos de red como los de Fortinet, Ivanti Connect Secure, NETGEAR, Citrix y Cisco para acceso inicial.
China, que tiene denegado Las acusaciones acusaron a Estados Unidos de llevar a cabo sus propios ataques cibernéticos.
En todo caso, las campañas emprendidas por China y Rusia subrayan la creciente amenaza que enfrentan los dispositivos de acceso a Internet en los últimos años debido al hecho de que dichas tecnologías carecen de soporte de detección y respuesta de terminales (EDR), lo que las hace propicias para el abuso.
«Estos ataques demuestran el uso de vulnerabilidades de N días ya resueltas y sus posteriores [living-off-the-land] técnicas, que son altamente indicativas del comportamiento empleado por el actor cibernético o grupo de actores conocido como Volt Typhoon, que ha estado utilizando estos métodos para atacar infraestructura crítica y potencialmente otros actores adyacentes», Fortinet dicho.