Fortinet ha abordado vulnerabilidades críticas en su Wireless LAN Manager (FortiWLM) que podrían conducir a la ejecución remota de código (RCE) no autenticado y a la divulgación de información confidencial. La dirección de los parches lanzados. CVE-2023-34990 y CVE-2023-48782que, cuando se explotan en conjunto, pueden otorgar a los atacantes acceso no autorizado. Los expertos enfatizan la urgencia de que los clientes actualicen sus sistemas.
Fortinet parchea vulnerabilidades críticas en Wireless LAN Manager
El error identificado, CVE-2023-34990, tiene una puntuación CVSS de 9,6 y se reveló por primera vez en marzo de 2023. Está categorizado como una «vulnerabilidad de lectura limitada de archivos no autenticados». Zach Hanley, un investigador de seguridad de Horizon3.ai, informó que la vulnerabilidad se debe a una validación de entrada inadecuada en los parámetros de solicitud. Esta falla permite a los atacantes recorrer directorios y acceder a cualquier archivo de registro en el sistema, lo que podría revelar información confidencial, como los ID de sesión de los usuarios. Estos registros son notablemente detallados en FortiWLM, lo que aumenta el riesgo cuando se explotan.
La Base de datos nacional de vulnerabilidades (NVD) describe cómo esta vulnerabilidad puede llevar a la ejecución de código no autorizado a través de solicitudes web especialmente diseñadas. Las versiones de FortiWLM afectadas incluyen 8.6.0 a 8.6.5, que se solucionaron en 8.6.6 y superiores, y 8.5.0 a 8.5.4, corregidas en la versión 8.5.5 o superiores. Dada la prominencia de Fortinet como objetivo de ataques cibernéticos, no se puede subestimar la necesidad de aplicar parches rápidamente.
La botnet BADBOX infecta más de 192.000 dispositivos Android en todo el mundo
Además de CVE-2023-34990, una vulnerabilidad separada, CVE-2023-48782, también desempeña un papel fundamental en la cadena de exploits. Esta falla de inyección de comando autenticada tiene una puntuación CVSS de 8,8 y fue corregida el año anterior. Hanley señala que, cuando se combina con la vulnerabilidad no autenticada, un atacante puede ejecutar comandos maliciosos con privilegios de root inyectando comandos a través de un punto final específico, comprometiendo aún más el sistema.
Kaspersky tiene reportado explotación continua de otra vulnerabilidad en FortiClient EMS de Fortinet, específicamente CVE-2023-48788que tiene una puntuación CVSS de 9,3. Esta vulnerabilidad de inyección SQL permite a los atacantes enviar paquetes de datos especialmente diseñados, lo que les permite ejecutar código no autorizado. La empresa de ciberseguridad documentó un ataque en octubre de 2024 dirigido a un servidor Windows que alojaba FortiClient EMS. El ataque aprovechó los puertos abiertos para obtener control sobre el servidor, lo que llevó a la instalación de software de escritorio remoto como AnyDesk y ScreenConnect.
Después de la infracción inicial, los atacantes supuestamente cargaron cargas útiles adicionales para el movimiento lateral, la recolección de credenciales y el establecimiento de persistencia en el sistema comprometido. Las herramientas utilizadas en esta campaña incluyeron malware para recuperación de contraseñas y escaneo de redes, como Mimikatz y netscan.exe. Se observa que la campaña se dirigió a varias empresas en varios países, lo que revela el alcance global y la sofisticación de estas amenazas cibernéticas.
Kaspersky ha observado nuevos intentos de convertir CVE-2023-48788 en un arma, incluida la ejecución de scripts de PowerShell desde servidores comprometidos para recopilar respuestas de otros objetivos vulnerables. Este esfuerzo apunta a la evolución de las metodologías de ataque y los riesgos continuos para las organizaciones que utilizan productos Fortinet. Las revelaciones iniciales de Forescout a principios de año reportado un patrón similar de explotación que involucra la misma vulnerabilidad para entregar herramientas de acceso remoto.
Las organizaciones que utilizan los sistemas de Fortinet deben priorizar la actualización y parcheo de sus equipos para mitigar los riesgos asociados con estas vulnerabilidades. Todavía no está claro hasta qué punto estas vulnerabilidades ya han sido explotadas globalmente, por lo que es esencial que los administradores permanezcan alerta.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje