Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Fortinet ha lanzado actualizaciones para 15 fallas de seguridad, incluyendo una crítica en FortiOS y FortiProxy que podría permitir a un atacante malicioso tomar el control de los sistemas afectados.
La vulnerabilidad crítica fue catalogada con el CVE-2023-25610 con una puntuación de 9.3 de 10, fue descubierta y reportada por los equipos de seguridad internos del fabricante.
Una vulnerabilidad de subescritura del búfer (buffer underflow) en la interfaz de administración en FortiOS y FortiProxy podría permitir que un atacante malicioso remoto no autenticado ejecute código de manera arbitraria en el dispositivo y/o realice una Denegación de Servicio (DoS) en la GUI, a través de solicitudes modificadas.
Los subdesbordamientos de búfer ocurren cuando los datos de entrada son más cortos que el espacio reservado, lo que provoca un comportamiento impredecible o la fuga de datos confidenciales de la memoria.
Otros posibles resultados incluyen la corrupción de la memoria que podría usarse como vector para inducir un bloqueo o ejecutar código arbitrario.
Los atacantes desconocidos utilizaron exploits de día cero para abusar de un nuevo error de FortiOS parcheado este mes en ataques dirigidos al gobierno y a grandes organizaciones que han llevado a la corrupción del sistema operativo y los archivos y la pérdida de datos.
Fortinet lanzó actualizaciones de seguridad el 7 de marzo de 2023 para abordar esta vulnerabilidad de seguridad de alta gravedad (CVE-2022-41328) que permitía a los actores de amenazas ejecutar códigos o comandos no autorizados.
Una limitación inapropiada de un nombre de ruta a una vulnerabilidad de directorio restringido ('path traversal') [CWE-22] en FortiOS puede permitir que un atacante privilegiado lea y escriba archivos arbitrarios a través de comandos CLI manipulados.
Este malware permite la filtración de datos, la descarga y escritura de archivos, o la apertura de shells remotos cuando se recibe un paquete ICMP que contiene la cadena ";7(Zu9YTsA7qQ#vm".
Fortinet concluyó que los ataques estaban altamente dirigidos, con algunas pruebas que mostraban que los actores de amenazas favorecían las redes gubernamentales. Los atacantes también han demostrado "capacidades avanzadas", incluidas partes de ingeniería inversa del sistema operativo de los dispositivos FortiGate.
Recursos afectados
La vulnerabilidad con el código CVE-2023-25610 afecta los siguientes productos:
- FortiOS 7.2.0 a 7.2.3
- FortiOS 7.0.0 a 7.0.9
- FortiOS 6.4.0 a 6.4.11
- FortiOS 6.2.0 a 6.2.12
- FortiOS 6.0 (todas las versiones)
- FortiProxy 7.2.0 a 7.2.2
- FortiProxy 7.0.0 a 7.0.8
- FortiProxy 2.0.0 a 2.0.11
- FortiProxy 1.2 (todas las versiones)
- FortiProxy 1.1 (todas las versiones)
Solución
Se deben actualizar a las siguientes versiones:
- Actualice a FortiOS versión 7.4.0 o superior
- Actualice a FortiOS versión 7.2.4 o superior
- Actualice a FortiOS versión 7.0.10 o superior
- Actualice a FortiOS versión 6.4.12 o superior
- Actualice a FortiProxy versión 7.2.3 o superior
- Actualice a FortiProxy versión 7.0.9 o superior
- Actualice a FortiProxy versión 2.0.12 o superior
En caso de que no pueda actualizar se recomienda deshabilitar la interfaz administrativa HTTP/HTTPS o se filtren las direcciones IP que pueden acceder a ella.
Indicadores de compromiso
Sistema/Logs:
- String “execute wireless-controller hs20-icon upload-icon”
- String “User FortiManager_Access via fgfmd upload and run script”
IP:
- 47.252.20.90
Hashes:
- Auth - b6e92149efaf78e9ce7552297505b9d5
- Klogd - 53a69adac914808eced2bf8155a7512d
- Support - 9ce2459168cf4b5af494776a70e0feda
- Smit - e3f342c212bb8a0a56f63490bf00ca0c
- Localnet - 88711ebc99e1390f1ce2f42a6de0654d
- Urls.py - 64bdf7a631bc76b01b985f1d46b35ea6
- Views.py - 3e43511c4f7f551290292394c4e21de7
- Fgfm - e2d2884869f48f40b32fb27cc3bdefff
Recomendaciones
Se recomienda a los clientes de Fortinet que actualicen de inmediato a una versión parcheada de FortiOS y FortyProxy para bloquear posibles intentos de ataque.