Vulnerabilidad en Fortinet SSL VPN (CVE-2023-50176, CVSS 7.1 Alta)

Fortinet publica avisos de seguridad sobre vulnerabilidades que afectan a sus productos cada 2.º martes de cada mes. El día 12 de noviembre del 2024 Fortinet publicó los respectivos avisos de este mes, cubriendo vulnerabilidades de carácter medio a alto que afectaban a diversos productos de la marca, entre las vulnerabilidades discutidas se encuentra una de carácter alto. 

La CVE-2023-50176 es una vulnerabilidad que afecta a múltiples versiones de FortiOS y recae específicamente en el componente SSL-VPN. El problema existe debido a una debilidad al momento de autenticar a un usuario o establecer una sesión nueva de un usuario sin antes invalidar cualquier identificador de sesión, dando oportunidad a un atacante para robar credenciales, la problemática antes mencionada es una vulnerabilidad común identificada como CWE-384. En FortiOS se puede explotar la CVE debido a que un atacante no autenticado secuestre la sesión de un usuario mediante un enlace de autenticación Security Assertion Markup Language (SAML) de phishing. 

Para su mitigación se recomienda verificar si el sistema operativo con el que se cuenta es vulnerable y, en caso de serlo, actualizar a una versión que mitigue dicha vulnerabilidad. 

Versiones Afectadas

Versión	Versiones afectadas	Solución para mitigación
FortiOS 7.4	De 7.4.0 a 7.4.3	Actualización a 7.4.4 o superior
FortiOS 7.2	De 7.2.0 a 7.2.7	Actualización a la versión 7.2.9 o superior
FortiOS 7.0	De 7.0.0 a 7.0.13	Actualización a 7.0.14 o superior

Recomendaciones

• Si se está en una versión vulnerable actualizar a la versión que mitiga la vulnerabilidad 

Si se encuentra en la versión 7.4.0 a 7.4.3 actualizar a 7.4.4 o superior 

Si se encuentra en la versión 7.2.0 a 7.2.7 actualizar a 7.2.9 o superior 

Si se encuentra en la versión 7.0.0 a 7.0.13 actualizar a 7.0.14 o superior 

 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. FORTINET. (2024. Noviembre 12) FortiOS - SSLVPN session hijacking using SAML authentication. Recuperado el 13 de noviembre del 2024 en: https://fortiguard.fortinet.com/psirt/FG-IR-23-475 

2. CVEdetails. (2024, noviembre 12) Vulnerability Details: CVE-2023-50176. Recuperado el 13 de noviembre del 2024 en: https://www.cvedetails.com/cve/CVE-2023-50176/ 

 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios