Vulnerabilidad Zero-Day en ataques a FW Fortinet con interfaces expuestas

XPoint
Publicado el 14/01/2025

Vulnerabilidad Zero-Day

Los cazadores de amenazas han destacado una nueva campaña que apunta a los dispositivos de cortafuegos Fortinet FortiGate con interfaces de gestión expuestas en Internet público.

“La campaña implicó inicios de sesión administrativos no autorizados en las interfaces de gestión de los cortafuegos, la creación de nuevas cuentas, la autenticación SSL VPN mediante esas cuentas y otros cambios en la configuración”, explicó Arctic Wolf en un análisis publicado la semana pasada.

Se cree que las actividades maliciosas comenzaron a mediados de noviembre de 2024. Actores desconocidos lograron acceso no autorizado a las interfaces de gestión en cortafuegos afectados, alteraron configuraciones y extrajeron credenciales utilizando DCSync.

Aunque aún no se conoce el vector de acceso inicial, se ha evaluado con “alta confianza” que probablemente se deba a la explotación de una vulnerabilidad zero-day, dada la “rápida propagación entre organizaciones afectadas y las versiones de firmware implicadas.”

 

Ciberseguridad

Las versiones de firmware afectadas incluyen entre la 7.0.14 y la 7.0.16, lanzadas en febrero y octubre de 2024 respectivamente.

La campaña constó de cuatro fases distintas que comenzaron el 16 de noviembre de 2024, progresando desde el escaneo de vulnerabilidades hasta la configuración y el movimiento lateral.

“Lo que distingue estas actividades de las legítimas es el uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales”, dijeron investigadores de Arctic Wolf.

Además, diferencias en técnicas e infraestructura sugieren la posible participación de múltiples actores, aunque el uso de jsconsole fue constante.

En resumen, los atacantes iniciaron sesión en las interfaces de gestión de los cortafuegos para modificar configuraciones. Entre sus acciones destacaron cambiar ajustes de salida, crear cuentas de superadministrador y establecer túneles SSL VPN desde direcciones IP asociadas con proveedores de alojamiento VPS.

La campaña culminó con la extracción de credenciales para movimiento lateral usando DCSync. Aunque los atacantes fueron eliminados de los entornos comprometidos, sus objetivos finales siguen siendo desconocidos.

Para mitigar riesgos, las organizaciones deben evitar exponer interfaces de gestión en Internet y limitar el acceso a usuarios confiables.

 

Fortinet confirma nueva vulnerabilidad Zero-Day

Fortinet publicó detalles sobre una vulnerabilidad crítica de omisión de autenticación en FortiOS y FortiProxy (CVE-2024-55591, CVSS: 9.6). Esta vulnerabilidad ha sido explotada para obtener privilegios de superadministrador mediante solicitudes diseñadas al módulo websocket de Node.js.

Las versiones afectadas incluyen:

  • FortiOS 7.0.0 a 7.0.16 (actualizar a 7.0.17 o superior)
  • FortiProxy 7.0.0 a 7.0.19 (actualizar a 7.0.20 o superior)
  • FortiProxy 7.2.0 a 7.2.12 (actualizar a 7.2.13 o superior)

La vulnerabilidad ha sido utilizada para crear cuentas de administrador, configurar nuevos grupos de usuarios y modificar políticas de cortafuegos, según hallazgos de Arctic Wolf.

 


 

Zero-Day Vulnerability in Attacks on Fortinet Firewalls with Exposed Interfaces

 

Zero-Day Vulnerability

Threat hunters have uncovered a campaign targeting Fortinet FortiGate firewalls with exposed management interfaces on public internet.

“The campaign involved unauthorized admin logins on firewall management interfaces, new account creation, SSL VPN authentication using those accounts, and other configuration changes,” Arctic Wolf explained in a recent report.

Malicious activity reportedly began mid-November 2024, with unknown actors accessing management interfaces, modifying settings, and extracting credentials using DCSync.

While the initial access vector is unknown, researchers believe with “high confidence” it likely stems from exploiting a zero-day vulnerability due to the “compressed timeline across affected organizations and impacted firmware versions.”

 

Cybersecurity

Affected firmware versions range from 7.0.14 to 7.0.16, released between February and October 2024.

The campaign unfolded in four stages starting November 16, 2024, evolving from vulnerability scanning to configuration changes and lateral movement.

“What differentiates these activities from legitimate ones is the extensive use of the jsconsole interface from unusual IP addresses,” Arctic Wolf researchers noted.

Differences in tradecraft suggest multiple actors may be involved, though jsconsole usage was consistent.

In summary, attackers accessed management interfaces to modify settings, create super admin accounts, and establish SSL VPN tunnels from VPS hosting IPs.

The campaign ended with adversaries extracting credentials for lateral movement via DCSync. Their ultimate goals remain unclear as they were purged from systems before advancing further.

To mitigate risks, organizations should avoid exposing management interfaces online and restrict access to trusted users.

 

Fortinet Confirms New Zero-Day Vulnerability

Fortinet disclosed a critical authentication bypass flaw in FortiOS and FortiProxy (CVE-2024-55591, CVSS: 9.6). This flaw allows attackers to gain super-admin privileges via crafted Node.js websocket requests.

Affected versions include:

  • FortiOS 7.0.0 to 7.0.16 (update to 7.0.17 or later)
  • FortiProxy 7.0.0 to 7.0.19 (update to 7.0.20 or later)
  • FortiProxy 7.2.0 to 7.2.12 (update to 7.2.13 or later)

The vulnerability has been weaponized to create admin accounts, configure user groups, and modify firewall policies, as noted by Arctic Wolf.

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos