La vulnerabilidad, CVE-2024-21762 (CVSS: 9.6), permite la ejecución de código y comandos arbitrarios.

“Una vulnerabilidad de escritura fuera de los límites [CWE-787] en FortiOS puede permitir a un atacante remoto no autenticado ejecutar código o comando arbitrarios a través de peticiones HTTP especialmente elaboradas”, dijo la compañía en un boletín divulgado el jueves.

Reconoció además que el tema está “potencialmente siendo explotado en la naturaleza”, sin dar detalles adicionales sobre cómo se está armando y por quién. 

Las siguientes versiones se ven afectadas por la vulnerabilidad. Vale la pena señalar que FortiOS 7.6 no se ve afectado.

  • FortiOS 7.4 (versiones 7.4.0 a 7.4.2) – Actualización a 7.4.3 o superior
  • FortiOS 7.2 (versiones 7.2.0 a 7.2.6) – Actualización a 7.2.7 o superior
  • FortiOS 7.0 (versiones 7.0.0 a 7.0.13) – Actualización a 7.0.14 o superior
  • FortiOS 6.4 (versiones 6.4.0 a 6.4.14) – Actualización a 6.4.15 o superior
  • FortiOS 6.2 (versiones 6.2.0 a 6.2.15) – Actualización a 6.2.16 o superior
  • FortiOS 6.0 (versiones 6.0 todas las versiones) – Migrar a una versión fija

El desarrollo se produce cuando Fortinet emitió parches para CVE-2024-23108 y CVE-2024-23109, impactando al supervisor de FortiSIEM, permitiendo a un atacante remoto sin autenticaar ejecutar comandos no autorizados a través de solicitudes de API elaboradas.

A principios de esta semana, el gobierno de Holanda reveló que una red informática utilizada por las fuerzas armadas fue infiltrada por actores patrocinados por el estado chino explotando fallas conocidas en dispositivos de Fortinet FortiGate para entregar una puerta trasera llamada COATHANGER.

La compañía, en un informe publicado esta semana, reveló que las vulnerabilidades de seguridad del día N en su software, como CVE-2022-42475 y CVE-2023-27997, están siendo explotadas por múltiples clústeres de actividad para dirigirse a gobiernos, proveedores de servicios, consultorías, manufacturas y grandes organizaciones de infraestructura crítica.

Anteriormente, los actores de amenazas chinos se han vinculado a la explotación de cero días de las fallas de seguridad en los aparatos de Fortinet para entregar una amplia gama de implantes, como BOLDMOVE, THINCRUST y CASTLETAP.

También sigue a un consejo del gobierno de Estados Unidos sobre un grupo de estado-nación chino llamado Volt Typhoon, que ha apuntado a infraestructura crítica en el país para la persistencia no descubicable a largo plazo al aprovechar las fallas conocidas y de cero días en aparatos de red como los de Fortinet, Ivanti Connect Secure, NETGEAR, Citrix y Cisco para el acceso inicial.

China, que ha negado las acusaciones, acusó a Estados Unidos de llevar a cabo sus propios ataques cibernéticos.

En todo caso, las campañas llevadas a cabo por China y Rusia subrayan la creciente amenaza que enfrentan los dispositivos de borde de internet en los últimos años debido al hecho de que estas tecnologías carecen de apoyo a la detección y respuesta de los puntos de haber sido defectuesados (EDR), lo que los hace madivos para el abuso. “Estos ataques demuestran el uso de vulnerabilidades de día N ya resueltos y las posteriores técnicas, que son altamente indicativas del comportamiento empleado por el actor cibernético o grupo de actores conocidos como Volt Typhoon, que ha estado usando estos métodos para apuntar a infraestructura crítica y potencialmente otros actores adyacentes”, dijo Fortinet.

El término “dispositivos de borde de Internet” se refiere a dispositivos que están ubicados en el borde de una red, ya sea una red local (LAN) o la propia Internet. Estos dispositivos desempeñan un papel importante en la gestión y control del tráfico de datos entre la red local y la red externa, como Internet.

Algunos ejemplos de dispositivos de borde de Internet incluyen:

  1. Router:
    • Un router es un dispositivo fundamental en la red que conecta diferentes redes y dirige el tráfico entre ellas. En el contexto de los dispositivos de borde, un router en el borde de la red local es responsable de enrutar el tráfico entre la LAN y la red externa, como Internet.
  2. Firewall:
    • Un firewall es un componente de seguridad que filtra y controla el tráfico de red en función de un conjunto de reglas predefinidas. Un firewall en el borde de la red protege la red local al bloquear o permitir ciertos tipos de tráfico.
  3. Gateway:
    • Un gateway es un dispositivo que actúa como interfaz entre dos redes diferentes, permitiendo la comunicación entre ellas. En el contexto de los dispositivos de borde, un gateway puede facilitar la conexión entre la red local y la red externa.
  4. Proxy:
    • Un proxy puede actuar como intermediario entre los dispositivos de la red local y los recursos en Internet. Puede utilizarse para mejorar el rendimiento, filtrar contenido o proporcionar seguridad adicional.
  5. Dispositivos de seguridad avanzada:
    • Pueden incluir dispositivos especializados en la detección de amenazas, prevención de intrusiones, y otros mecanismos de seguridad avanzada para proteger la red contra ataques cibernéticos.

Estos dispositivos trabajan juntos para facilitar una comunicación segura y eficiente entre la red local y la Internet, gestionando el flujo de datos, aplicando políticas de seguridad y proporcionando funciones de enrutamiento necesarias. La elección y configuración de estos dispositivos dependen de los requisitos específicos de la red y de los objetivos de seguridad.