La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el miércoles una falla de seguridad crítica que afecta a los productos de Fortinet a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
La vulnerabilidad, identificada como CVE-2024-23113 (puntuación CVSS: 9,8), se relaciona con casos de ejecución remota de código que afectan a FortiOS, FortiPAM, FortiProxy y FortiWeb.
«El uso de una vulnerabilidad de cadena de formato controlada externamente [CWE-134] en el demonio fgfmd de FortiOS puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes especialmente diseñadas», señaló Fortinet en un aviso sobre la falla en febrero de 2024.
Como suele suceder, el boletín es escaso en detalles relacionados con cómo se está explotando la deficiencia en la práctica, o quién la está utilizando como arma y contra quién.
En vista de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen el mandato de aplicar las mitigaciones proporcionadas por los proveedores antes del 30 de octubre de 2024, para una protección óptima.
Palo Alto Networks revela errores críticos en Expedition
Este desarrollo se produce luego de que Palo Alto Networks revelara múltiples fallas de seguridad en Expedition que podrían permitir a un atacante leer contenidos de bases de datos y archivos arbitrarios, además de escribir archivos arbitrarios en ubicaciones de almacenamiento temporales en el sistema.
«En conjunto, estos incluyen información como nombres de usuario, contraseñas en texto sin formato, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS», dijo Palo Alto Networks en una alerta del miércoles.
Las vulnerabilidades que afectan a todas las versiones de Expedition anteriores a la 1.2.96 se enumeran a continuación:
- CVE-2024-9463 (puntuación CVSS: 9,9): una vulnerabilidad de inyección de comandos del sistema operativo (SO) que permite a un atacante no autenticado ejecutar comandos arbitrarios del SO como root.
- CVE-2024-9464 (puntuación CVSS: 9,3): una vulnerabilidad de inyección de comandos del sistema operativo que permite a un atacante autenticado ejecutar comandos arbitrarios del sistema operativo como root.
- CVE-2024-9465 (puntuación CVSS: 9,2): una vulnerabilidad de inyección SQL que permite a un atacante no autenticado revelar el contenido de la base de datos de Expedition.
- CVE-2024-9466 (puntuación CVSS: 8,2): una vulnerabilidad de almacenamiento de información confidencial en texto sin formato que permite a un atacante autenticado revelar nombres de usuario, contraseñas y claves API del firewall generadas con esas credenciales.
- CVE-2024-9467 (puntuación CVSS: 7.0): una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada que permite la ejecución de JavaScript malicioso en el contexto del navegador de un usuario autenticado de Expedition si ese usuario hace clic en un enlace malicioso, lo que permite ataques de phishing que podrían conducir al robo de sesiones del navegador de Expedition.
La empresa agradeció a Zach Hanley de Horizon3.ai por descubrir e informar CVE-2024-9464, CVE-2024-9465 y CVE-2024-9466, y a Enrique Castillo de Palo Alto Networks por CVE-2024-9463, CVE-2024-9464, CVE-2024-9465 y CVE-2024-9467.
No hay evidencia de que los problemas hayan sido explotados alguna vez, aunque dijo que los pasos para reproducir el problema ya están en el dominio público, cortesía de Horizon3.ai.
Hay aproximadamente 23 servidores de Expedition expuestos a Internet, la mayoría de los cuales se encuentran en EE. UU., Bélgica, Alemania, Países Bajos y Australia. Como medida de mitigación, se recomienda limitar el acceso a usuarios, hosts o redes autorizados y apagar el software cuando no esté en uso activo.
Cisco corrige la falla del controlador de estructura del panel Nexus
La semana pasada, Cisco también lanzó parches para remediar una falla crítica de ejecución de comandos en Nexus Dashboard Fabric Controller (NDFC) que, según dice, se debe a una autorización de usuario incorrecta y una validación insuficiente de los argumentos del comando.
Identificada como CVE-2024-20432 (puntuación CVSS: 9,9), podría permitir que un atacante remoto autenticado y con pocos privilegios realice un ataque de inyección de comandos contra un dispositivo afectado. La falla se ha solucionado en la versión 12.2.2 de NDFC. Vale la pena señalar que las versiones 11.5 y anteriores no son susceptibles.
«Un atacante podría aprovechar esta vulnerabilidad enviando comandos diseñados a un punto final de API REST afectado o a través de la interfaz de usuario web», afirmó . «Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en la CLI de un dispositivo administrado por Cisco NDFC con privilegios de administrador de red».
Fuente y redacción: thehackernews.com
