Fortinet – CVE-2024-23113 (puntuación CVSS: 9.8)
T
Esta vulnerabilidad se publicó inicialmente el 8 de febrero de 2024. La vulnerabilidad, identificada como CVE-2024-23113 (puntuación CVSS: 9.8), está relacionada con casos de ejecución remota de código que afectan a FortiOS, FortiPAM, FortiProxy y FortiWeb. La falla se origina por el uso de una cadena de formato controlada externamente dentro del demonio fgfmd, que maneja solicitudes de autenticación y gestiona los mensajes de keep-alive. Resumen: El uso de una cadena de formato controlada externamente en Fortinet FortiOS versiones 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.6, 7.0.0 hasta 7.0.13, FortiProxy versiones 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.8, 7.0.0 hasta 7.0.14, FortiPAM versiones 1.2.0, 1.1.0 hasta 1.1.2, 1.0.0 hasta 1.0.3, FortiSwitchManager versiones 7.2.0 hasta 7.2.3, 7.0.0 hasta 7.0.3 permite a un atacante ejecutar código o comandos no autorizados mediante paquetes especialmente diseñados. Explotada en el entorno real: CISA ha confirmado que esta vulnerabilidad se está explotando activamente en el entorno real. Los atacantes están aprovechando esta falla para obtener acceso no autorizado a sistemas vulnerables sin requerir la interacción del usuario ni privilegios elevados, lo que la convierte en un vector de ataque de baja complejidad. La explotación de esta vulnerabilidad representa riesgos significativos para las organizaciones, especialmente aquellas que utilizan estos productos en infraestructuras críticas. Recomendaciones: Fortinet ya ha lanzado parches para abordar la vulnerabilidad CVE-2024-23113. Se recomienda encarecidamente a las organizaciones actualizar sus sistemas a las últimas versiones de la siguiente manera:
- FortiOS: Actualizar a la versión 7.4.3 o superior.
- FortiProxy: Actualizar a la versión 7.4.3 o superior.
- FortiPAM: Actualizar a la versión 1.2.1 o superior.
- FortiWeb: Actualizar a la versión 7.4.3 o superior. Las organizaciones deben actuar rápidamente para aplicar los parches e implementar estrategias de mitigación para proteger sus sistemas contra accesos no autorizados y posibles brechas de datos.
Siga la ruta de actualización recomendada utilizando la herramienta de Fortinet en: https://docs.fortinet.com/upgrade-tool Soluciones Alternativas: Para cada interfaz, elimine el acceso fgfm, por ejemplo, cambie:
Tenga en cuenta que esto impedirá el descubrimiento de FortiGate desde FortiManager. La conexión aún será posible desde FortiGate. También tenga en cuenta que una política local que solo permita conexiones FGFM desde una IP específica reducirá la superficie de ataque, pero no impedirá que la vulnerabilidad sea explotada desde esta IP. Como consecuencia, esto debe usarse como una mitigación y no como una solución completa. Para más detalles, visite: https://www.fortiguard.com/psirt/FG-IR-24-029 CISA Añade Tres Vulnerabilidades Conocidas y Explotadas al Catálogo | CISA
Palo Alto – CVE-2024-9463 (puntuación CVSS: 9.9)
Resumen: Múltiples vulnerabilidades en Palo Alto Networks Expedition permiten a un atacante leer contenidos de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema Expedition. Estas incluyen información como nombres de usuario, contraseñas en texto claro, configuraciones de dispositivos y claves API de los firewalls PAN-OS. Estos problemas no afectan a los firewalls, Panorama, Prisma Access o Cloud NGFW. Las vulnerabilidades, que afectan a todas las versiones de Expedition anteriores a la 1.2.96, se enumeran a continuación:
- CVE-2024-9463 (puntuación CVSS: 9.9) - Una vulnerabilidad de inyección de comandos del sistema operativo (OS) que permite a un atacante no autenticado ejecutar comandos OS arbitrarios como root.
- CVE-2024-9464 (puntuación CVSS: 9.3) - Una vulnerabilidad de inyección de comandos OS que permite a un atacante autenticado ejecutar comandos OS arbitrarios como root.
- CVE-2024-9465 (puntuación CVSS: 9.2) - Una vulnerabilidad de inyección SQL que permite a un atacante no autenticado revelar contenidos de la base de datos Expedition.
- CVE-2024-9466 (puntuación CVSS: 8.2) - Una vulnerabilidad de almacenamiento en texto claro de información sensible que permite a un atacante autenticado revelar nombres de usuario, contraseñas y claves API de firewall generadas con esas credenciales.
- CVE-2024-9467 (puntuación CVSS: 7.0) - Una vulnerabilidad XSS reflejada que permite la ejecución de JavaScript malicioso en el contexto del navegador de un usuario autenticado de Expedition si ese usuario hace clic en un enlace malicioso, permitiendo ataques de phishing que podrían llevar al robo de sesión del navegador de Expedition.
Solución: Las soluciones para todos los problemas enumerados están disponibles en Expedition 1.2.96 y en todas las versiones posteriores de Expedition. El archivo en texto claro afectado por CVE-2024-9466 se eliminará automáticamente durante la actualización. Todos los nombres de usuario, contraseñas y claves API de Expedition deben rotarse después de actualizar a la versión corregida de Expedition. Alternativas y Mitigaciones: Asegúrese de que el acceso a la red de Expedition esté restringido a usuarios, hosts o redes autorizadas. Si Expedition no está en uso activo, asegúrese de que el software Expedition esté apagado. Para CVE-2024-9465, puede buscar un indicador de compromiso con el siguiente comando en un sistema Expedition (reemplace "root" con su nombre de usuario si usa un nombre de usuario diferente): Si ve algún registro devuelto, esto indica un posible compromiso. Tenga en cuenta que si no se devuelven registros, el sistema aún puede estar comprometido. Esto solo está destinado a indicar un posible compromiso, en lugar de confirmar que un sistema no ha sido comprometido. No hay indicadores prácticos de compromiso para el resto de los CVE en este aviso. Se aconseja a los clientes que vigilen el CVE rastreado en la página de Avisos de Seguridad de Palo Alto: https://security.paloaltonetworks.com/PAN-SA-2024-0010
Cisco – CVE-2024-20432 (puntuación CVSS: 9.9)
Resumen: Identificada como CVE-2024-20432 (puntuación CVSS: 9.9), podría permitir a un atacante remoto, autenticado y con bajos privilegios, realizar un ataque de inyección de comandos contra un dispositivo afectado. El fallo ha sido resuelto en la versión NDFC 12.2.2. Esta vulnerabilidad se debe a una autorización de usuario inapropiada y una validación insuficiente de los argumentos del comando. Productos Afectados: Esta vulnerabilidad afecta a Cisco NDFC. Nota: Esta vulnerabilidad no afecta a Cisco NDFC cuando se configura para el despliegue del controlador SAN. Recomendación: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas para esta vulnerabilidad.
Para obtener más detalles y parches, consulte la página de resumen de Cisco. Se aconseja a los clientes revisar sus productos y aplicar parches de seguridad lo antes posible.