Se puso a disposición un código de explotación de prueba de concepto (PoC) para la falla de seguridad crítica recientemente revelada que afecta a Fortinet FortiOS, FortiProxy y FortiSwitchManager, por lo que es imperativo que los usuarios se muevan rápidamente para aplicar los parches.
«FortiOS expone un portal web de gestión que permite al usuario configurar el sistema», dijo James Horseman, investigador de Horizon3.ai . «Además, un usuario puede SSH en el sistema que expone una interfaz CLI bloqueada».
El problema, rastreado como CVE-2022-40684 (puntaje CVSS: 9.6), se refiere a una vulnerabilidad de omisión de autenticación que podría permitir que un atacante remoto realice operaciones maliciosas en la interfaz administrativa a través de solicitudes HTTP(S) especialmente diseñadas.
Una explotación exitosa de la deficiencia equivale a otorgar acceso completo «para hacer casi cualquier cosa» en el sistema afectado, incluida la alteración de las configuraciones de la red, la adición de usuarios malintencionados y la interceptación del tráfico de la red.
Dicho esto, la firma de ciberseguridad dijo que hay dos requisitos previos esenciales al realizar dicha solicitud:
- Usando el encabezado Reenviado, un atacante puede establecer client_ip en «127.0.0.1»
- La verificación de autenticación de «acceso de confianza» verifica que client_ip sea «127.0.0.1» y que el User-Agent sea «Report Runner», los cuales están bajo el control del atacante
El lanzamiento del PoC se produce cuando Fortinet advirtió que ya está al tanto de una instancia de explotación activa de la falla en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un aviso instando a las agencias federales a solucionar el problema para noviembre. 1, 2022.
La firma de inteligencia de amenazas GreyNoise ha detectado 12 direcciones IP únicas que utilizan CVE-2022-40684 como arma a partir del 13 de octubre de 2022, la mayoría de ellas ubicadas en Alemania, seguidas de EE. UU., Brasil, China y Francia.
La compañía de seguridad de WordPress, WordFence, también dijo que identificó intentos de sondeo de 21 direcciones IP diferentes para «determinar si un dispositivo Fortinet está en su lugar», mientras observaba las solicitudes HTTP que coincidían con el PoC para agregar una clave SSH al usuario administrador.
Actualización: En medio de un gran aumento en los análisis de vulnerabilidades para la vulnerabilidad de omisión de autenticación, Fortinet lanzó el viernes otro aviso instando a los clientes a actualizar los dispositivos afectados a la última versión lo antes posible.
«Después de múltiples notificaciones de Fortinet durante la semana pasada, todavía hay una cantidad significativa de dispositivos que requieren mitigación, y luego de la publicación por parte de un tercero del código POC, existe una explotación activa de esta vulnerabilidad», dijo la compañía .
Los atacantes han atacado previamente los problemas en los dispositivos de Fortinet para obtener un punto de apoyo inicial en las redes de destino. CVE-2018-13379 , que sigue siendo una de las fallas más armadas en los últimos años, llevó a la empresa a emitir tres alertas de seguimiento en agosto de 2019, julio de 2020 y nuevamente en abril de 2021.
