Una vulnerabilidad de seguridad crítica de febrero está afectando a más de 87.000 dispositivos FortiOS, dejándolos expuestos a posibles ataques de ejecución remota de código (RCE).
La falla, identificada como CVE-2024-23113, afecta a múltiples versiones de los productos FortiOS, FortiProxy, FortiPAM y FortiWeb. A este defecto crítico se le ha asignado una puntuación CVSS de 9,8 sobre 10, lo que indica su naturaleza grave.
La vulnerabilidad surge del uso de una cadena de formato controlada externamente en el demonio fgfmd de FortiOS, que permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.
Según los análisis de Shadowserver, se han identificado aproximadamente 87.390 direcciones IP asociadas con dispositivos Fortinet potencialmente vulnerables. Estados Unidos lidera con 14.000 dispositivos afectados, seguido de Japón (5.100) e India (4.800).
La vulnerabilidad afecta a las versiones 7.0 a 7.4.2 de FortiOS, así como a varias versiones de FortiPAM, FortiProxy y FortiWeb. Fortinet ha publicado parches para los productos afectados y recomienda encarecidamente a los usuarios que actualicen sus sistemas a las versiones seguras más recientes. FortiOS 6.x no está afectado.
Como solución temporal, Fortinet recomienda eliminar el acceso a fgfm para cada interfaz. Sin embargo, esto puede impedir que FortiManager detecte FortiGate.
Explotación activa
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha agregado CVE-2024-23113 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Dado el uso generalizado de los productos Fortinet en redes empresariales y gubernamentales, esta vulnerabilidad representa un riesgo significativo para las organizaciones de todo el mundo. Los expertos en seguridad instan a tomar medidas inmediatas para mitigar la amenaza:
- Actualizar los dispositivos afectados a las últimas versiones parcheadas.
- Implementar las soluciones alternativas recomendadas si no es posible aplicar parches de inmediato.
- Supervisar los sistemas para detectar cualquier signo de acceso no autorizado o actividad sospechosa.
- Realizar una auditoría de seguridad exhaustiva de la infraestructura de red.
A medida que los actores de amenazas continúan apuntando a las vulnerabilidades conocidas, es fundamental actuar con rapidez para proteger la infraestructura crítica y los datos confidenciales de posibles ataques.
Fuente: CyberSecurityNews
