Under Attack?
Una vulnerabilidad de bypass de autenticación mediante un canal o ruta alternativo [CWE-288] que afecta a FortiOS y FortiProxy podría permitir que un atacante remoto obtenga privilegios de superadministrador mediante solicitudes diseñadas específicamente al módulo WebSocket de Node.js.
Identificada como CVE-2024-55591, esta vulnerabilidad de "bypass de autenticación" tiene una puntuación CVSSv3 de 9.6, lo que la clasifica como crítica. FortiOS es el sistema operativo para productos de Fortinet, incluidas las VPN SSL de Fortinet y los firewalls de nueva generación (NGFW), mientras que FortiProxy es una puerta de enlace web segura que incluye funcionalidades avanzadas de filtrado e inspección.
Se debe tener en cuenta que los informes indican que esta vulnerabilidad está siendo explotada activamente.
Versiones afectadas
| Versión | Afectada | Solución |
|---|---|---|
| FortiOS 7.6 | No afectada | No aplicable |
| FortiOS 7.4 | No afectada | No aplicable |
| FortiOS 7.2 | No afectada | No aplicable |
| FortiOS 7.0 | De 7.0.0 a 7.0.16 | Actualizar a la versión 7.0.17 o superior |
| FortiOS 6.4 | No afectada | No aplicable |
| FortiProxy 7.6 | No afectada | No aplicable |
| FortiProxy 7.4 | No afectada | No aplicable |
| FortiProxy 7.2 | De 7.2.0 a 7.2.12 | Actualizar a la versión 7.2.13 o superior |
| FortiProxy 7.0 | De 7.0.0 a 7.0.19 | Actualizar a la versión 7.0.20 o superior |
| FortiProxy 2.0 | No afectada | No aplicable |
Recomendaciones
Se recomienda a quienes utilizan versiones afectadas de FortiOS y FortiProxy que actualicen de inmediato a la versión parcheada siguiendo la ruta de actualización recomendada utilizando la herramienta de Fortinet:
https://docs.fortinet.com/upgrade-tool
Además, se alienta encarecidamente a las organizaciones a realizar una evaluación de compromiso buscando los indicadores de compromiso descritos en este aviso.
Soluciones temporales
Solución temporal 1:
Desactivar la interfaz administrativa HTTP/HTTPS.
Solución temporal 2:
Limitar las direcciones IP que pueden acceder a la interfaz administrativa mediante políticas locales:
config firewall address
edit "my_allowed_addresses"
set subnet [introducir subred]
end
Crear un grupo de direcciones:
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
Crear una política local para restringir el acceso solo al grupo predefinido en la interfaz de gestión (por ejemplo, port1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
Si se utilizan puertos no predeterminados, crear los objetos de servicio apropiados para el acceso administrativo GUI:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next
edit GUI_HTTP
set tcp-portrange 80
end
Utilizar estos objetos en lugar de "HTTPS HTTP" en las políticas locales 1 y 2 indicadas anteriormente.
Nota: la función trusthost logra lo mismo que las políticas locales anteriores solo si todos los usuarios de la GUI están configurados con ella. Por lo tanto, las políticas locales anteriores son el método preferido.
Contacte con el soporte técnico de Fortinet para obtener asistencia adicional.
Indicadores de compromiso
Entradas de registro y operaciones realizadas por los atacantes:
Fortinet ha proporcionado las siguientes entradas de registro como posibles indicadores de compromiso:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Nota: Fortinet ha indicado que los campos sn y cfgtid no son relevantes para el ataque.
Otras operaciones realizadas por los atacantes:
- Creación de una cuenta de administrador en el dispositivo con un nombre de usuario aleatorio (detalles a continuación).
- Creación de una cuenta de usuario local en el dispositivo con un nombre de usuario aleatorio (detalles a continuación).
- Creación de un grupo de usuarios o adición del usuario local creado a un grupo de usuarios SSLVPN existente.
- Modificación de otras configuraciones (política de firewall, direcciones de firewall, etc.).
- Inicio de sesión en la SSLVPN utilizando los usuarios locales añadidos para establecer un túnel hacia la red interna.
Direcciones IP falsificadas:
Se ha observado a los atacantes falsificando las direcciones IP de origen y destino durante las sesiones de jsconsole. Estas direcciones IP no son típicas de la actividad de jsconsole. Las IP son:
- 1.1.1.1
- 127.0.0.1
- 2.2.2.2
- 8.8.8.8
- 8.8.4.4
Nota: Las direcciones IP indicadas están bajo el control de los atacantes y podrían ser reemplazadas por cualquier otra dirección IP.
Direcciones IP utilizadas por los atacantes:
- 45.55.158.47 (la más común)
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
Cuentas de administrador o locales generadas por los atacantes:
Los atacantes han generado cuentas de administrador y locales con nombres de usuario alfanuméricos de 6 caracteres. Algunos ejemplos:
- Gujhmk
- Ed8x4k
- G0xgey
- Pvnw8
Actualizaciones sobre amenazas:
Para más información y actualizaciones sobre esta vulnerabilidad, se recomienda seguir la página del Product Security Incident Response Team de Fortinet:
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
Si le preocupan las amenazas descritas en este boletín o necesita ayuda para proteger su organización, póngase en contacto con su gestor de cuentas o visite la página de soporte para obtener más información sobre cómo proteger su organización.
.png?width=398&height=65&name=3-ISO-Logos-(1).png)
