ISGroup Consultoría de Ciberseguridad

CVE-2024-55591 – Bypass de autenticación en Fortinet FortiOS y FortiProxy

Una vulnerabilidad crítica de omisión de autenticación (CVSS 9.6) que afecta a los productos FortiOS y FortiProxy de Fortinet está siendo objeto de explotación activa actualmente. La vulnerabilidad reside en el módulo WebSocket de Node.js y permite a atacantes remotos eludir los mecanismos de autenticación. Más de 7,6 millones de instancias de firewalls de Fortinet están expuestas a Internet, lo que hace que esta amenaza sea particularmente extendida.

ProductoFortinet FortiProxy
Fecha2025-01-17 13:27:30
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

Esta vulnerabilidad permite a los atacantes omitir los controles de autenticación y obtener privilegios de superadministrador enviando solicitudes web especialmente diseñadas. Una explotación exitosa permite a los atacantes:

  • Crear cuentas de superadministrador con privilegios completos de sistema
  • Modificar configuraciones del sistema, incluyendo políticas de firewall y grupos de usuarios
  • Establecer túneles VPN para acceder a redes internas
  • Crear cuentas de usuario locales con nombres aleatorios (ej. Gujhmk, Ed8x4k)
  • Añadir/modificar políticas de firewall y ajustes de red

Dispositivos y versiones afectados:

  • FortiOS de la 7.0.0 a la 7.0.16
  • FortiProxy de la 7.0.0 a la 7.0.19
  • FortiProxy de la 7.2.0 a la 7.2.12

La explotación involucra:

  1. Envío de una solicitud diseñada al endpoint de inicio de sesión
  2. Establecimiento de una conexión WebSocket con encabezados específicos
  3. Omisión de los controles de autenticación a través del módulo WebSocket de Node.js

Recomendaciones

  1. Actualizar a las versiones corregidas:
  • FortiOS 7.0.17 o superior
  • FortiProxy 7.2.13 o superior
  1. Mejoras en la seguridad:
  • Habilitar la autenticación de múltiples factores (MFA) para todas las cuentas administrativas
  • Implementar políticas “local-in” para restringir el acceso a la interfaz de gestión
  • Limitar el acceso administrativo a rangos de IP confiables
  • Monitorear regularmente la actividad sospechosa en las cuentas
  1. Detección:
  • Monitorear la creación de cuentas de administrador con nombres aleatorios (ej. Gujhmk, Ed8x4k)
  • Observar intentos de acceso desde IPs maliciosas conocidas
  • Revisar los registros del sistema en busca de modificaciones no autorizadas en la configuración

[Callforaction-THREAT-Footer]

In