Esta vulnerabilidad permite a atacantes remotos obtener privilegios de superadministrador en dispositivos comprometidos, como firewalls y VPN SSL. El fallo se explota mediante solicitudes maliciosas al módulo WebSocket de Node.js, logrando acceso sin autenticación a los paneles de administración.
La vulnerabilidad afecta a las versiones de FortiOS desde la 7.0.0 hasta la 7.0.16, y a las de FortiProxy desde la 7.0.0 hasta la 7.0.19 y desde la 7.2.0 hasta la 7.2.12. Es importante destacar que las versiones más recientes de estos productos no se ven afectadas, por lo que los clientes que mantienen sus sistemas actualizados están protegidos frente a esta vulnerabilidad. Fortinet ha lanzado parches para abordar este problema y recomienda encarecidamente a las organizaciones aplicar las actualizaciones de inmediato.
Los atacantes que explotan esta vulnerabilidad han sido observados realizando una serie de acciones maliciosas, cómo las siguientes:
Campaña activa desde noviembre
Fortinet ha confirmado que la explotación activa comenzó a mediados de noviembre de 2024. Los ataques se centraron en firewalls FortiGate con interfaces de gestión expuestas a Internet. Los atacantes llevaron a cabo un ciclo de cuatro fases:
Escaneo de vulnerabilidades: Del 16 al 23 de noviembre.
Reconocimiento de sistemas: Del 22 al 27 de noviembre.
Configuración de VPN SSL: Del 4 al 7 de diciembre.
Movimiento lateral dentro de las redes: Del 16 al 27 de diciembre.
¿Cómo saber si tu sistema ha sido comprometido?
Verifica las versiones de FortiOS y FortiProxy instaladas en tus dispositivos para identificar si tu sistema ha sido comprometido y revisa los registros en busca de:
- Revisa los registros de actividad en busca de actividad sospechosa.
- Identifica configuraciones no autorizadas, como políticas de firewall modificadas o usuarios añadidos sin tu autorización.
¿Cómo Sofistic puede ayudarte?
En Sofistic, ofrecemos servicios especializados para proteger tu infraestructura frente a esta amenaza:
