FortiGate firewall y FortiManager son ampliamente utilizados en redes empresariales y proveedores de servicios gestionados (MSP) para centralizar la configuración y la gestión de la infraestructura de seguridad. Una vulnerabilidad de día cero recientemente descubierta permite a los atacantes aprovechar una debilidad en el protocolo de comunicación (FGFM) entre los dispositivos FortiGate y FortiManager, lo que conduce a accesos no autorizados a las redes internas. Más de 60,000 instancias de FortiManager están actualmente expuestas a Internet, lo que aumenta el riesgo de explotación. En particular, este problema permite la ejecución remota de código (RCE) en FortiManager mediante el registro malicioso de dispositivos FortiGate falsos.
| Producto | Fortinet FortiManager |
| Fecha | 2024-10-23 15:49:14 |
| Información |
|
Resumen técnico
La vulnerabilidad reside en el protocolo FGFM (puerto 541), que permite la comunicación entre los firewalls FortiGate y FortiManager. Los atacantes roban o reutilizan certificados legítimos de dispositivos FortiGate comprometidos y los utilizan para registrar sus dispositivos falsos dentro de un sistema FortiManager. Una vez registrados, los atacantes pueden aprovechar la vulnerabilidad para obtener RCE en FortiManager. Esto les otorga la capacidad de controlar los firewalls FortiGate gestionados, exfiltrar configuraciones y credenciales, y propagar ataques adicionales dentro de la red. El diseño de FGFM admite el recorrido NAT (NAT traversal), lo que significa que los atacantes que comprometen un solo firewall gestionado pueden moverse lateralmente entre FortiManager y otros dispositivos en la red gestionada, comprometiendo potencialmente toda la infraestructura. Se ha observado a actores maliciosos, incluidos grupos patrocinados por estados, explotando esta vulnerabilidad desde principios de 2024.
Recomendaciones
- Limitar el acceso a FortiManager (puerto 541) permitiéndolo únicamente desde direcciones IP de confianza.
- Configurar FortiManager para rechazar números de serie desconocidos e impedir la adición de dispositivos no autorizados.
- Revocar y volver a emitir los certificados utilizados para la autenticación de dispositivos para bloquear cualquier reutilización no autorizada.
- Aplicar tan pronto como estén disponibles los parches de seguridad publicados por Fortinet que abordan esta vulnerabilidad.
[Callforaction-THREAT-Footer]