Bl0ckch41nnews(Otra) vulnerabilidad crítica de FortiOS SSL VPN (CVE-2024-21762)

Fortinet ha revelado una
nueva falla de seguridad crítica en FortiOS SSL VPN que, según dijo,
probablemente esté siendo explotada en la naturaleza.
La vulnerabilidad, CVE-2024-21762 (CVSS: 9,6), permite la ejecución de
código y comandos arbitrarios.

«Una vulnerabilidad de escritura fuera de límites [CWE-787] en FortiOS
puede permitir que un atacante remoto no autenticado ejecute código o
comando arbitrario a través de solicitudes HTTP especialmente diseñadas»,
dijo la compañía
en un boletín publicado el jueves.

Reconoció además que el problema está
«potencialmente siendo explotado en la naturaleza», sin dar detalles
adicionales sobre cómo y quién lo está utilizando como arma.

Las siguientes versiones se ven afectadas por la vulnerabilidad. Vale la pena
señalar que FortiOS 7.6 no se ve afectado.

• FortiOS 7.6 no afectado
• FortiOS 7.4 (versiones 7.4.0 – 7.4.2) – Actualizar a 7.4.3+
• FortiOS 7.2 (versiones 7.2.0 – 7.2.6) – Actualizar a 7.2.7+
• FortiOS 7.0 (versiones 7.0.0 – 7.0.13) – Actualizar a 7.0.14+ 
• FortiOS 6.4 (versiones 6.4.0 – 6.4.14) – Actualizar a 6.4.15+
• FortiOS 6.2 (versiones 6.2.0 – 6.2.15) – Actualizar a 6.2.16+
• FortiOS 6.0 (versiones 6.0.x) – Migrar a versiones
  soportadas

A principios de esta semana, el gobierno de los Países Bajos
reveló
que una red informática utilizada por las fuerzas armadas fue infiltrada por
actores patrocinados por el estado chino mediante la explotación de fallas
conocidas en los dispositivos Fortinet FortiGate para ofrecer una puerta
trasera llamada COATHANGER.

La compañía, en un informe publicado esta semana, divulgó que las
vulnerabilidades de seguridad del día N en su software, como
CVE-2022-42475
y
CVE-2023-27997, están siendo explotadas por múltiples grupos de actividades para atacar a
gobiernos, proveedores de servicios, empresas d manufactura y grandes
organizaciones de infraestructura crítica.

Anteriormente, los actores de amenazas chinos han sido vinculados a la
explotación de día cero de fallas de seguridad en dispositivos Fortinet para
entregar una amplia gama de implantes, como BOLDMOVE, THINCRUST y CASTLETAP.

También sigue a un
aviso
del gobierno de EE.UU. sobre un grupo de estado-nación chino denominado Volt
Typhoon, que se ha centrado en la infraestructura crítica del país para una
persistencia no descubierta a largo plazo aprovechando fallas conocidas y de
día cero en dispositivos de red como los de Fortinet, Ivanti Connect Secure,
NETGEAR, Citrix y Cisco para acceso inicial.

En todo caso, las campañas emprendidas por
China
y
Rusia
subrayan la creciente amenaza que enfrentan los dispositivos de acceso a
Internet en los últimos años debido al hecho de que dichas tecnologías carecen
de soporte de detección y respuesta de terminales (EDR), lo que las hace
propicias para el abuso.

«Estos ataques demuestran el uso de vulnerabilidades de día N ya resueltas
y técnicas posteriores [de vivir de la tierra], que son altamente
indicativas del comportamiento empleado por el ciberactor o grupo de actores
conocido como Volt Typhoon, que ha sido utilizando estos métodos para atacar
la infraestructura crítica y potencialmente otros actores adyacentes», dijo Fortinet.

CISA confirma la explotación de CVE-2024-21762

El 9 de febrero de 2024, la Agencia de Seguridad de Infraestructura y
Ciberseguridad de EE.UU. (CISA) agregó CVE-2024-21762 a su catálogo de
vulnerabilidades explotadas conocidas (KEV),
citando
evidencia de explotación activa en la naturaleza.

Las agencias del Poder Ejecutivo Civil Federal (FCEB) recibieron el mandato de
aplicar las correcciones antes del 16 de febrero de 2024 para proteger sus
redes contra posibles amenazas.

Por ahora la empresa recomienda como workaround
desactivar SSL VPN y aclara que desactivar el webmode no es válido como
solución. Se recomienda actualizar utilizando la herramienta oficial de
Fortinet:
https://docs.fortinet.com/upgrade-tool

Fuente:
THN

Source link