Vulnerabilidades explotadas en FortiOS

La CISA, junto a Fortinet, ha lanzado un aviso de seguridad en el cual se discute el descubrimiento de una falla de seguridad que permite a un atacante tener acceso de lectura a un dispositivo afectado.

Esta falla de seguridad no es nueva ni se trata de una sola vulnerabilidad; son tres vulnerabilidades que afectan al servicio de VPN, específicamente a las SSL-VPN. Estas vulnerabilidades corresponden a los años 2022, 2023 y la más reciente es de 2024. Aunque ya fueron parcheadas en su momento, el problema persiste. Específicamente, se trata de las siguientes vulnerabilidades:

• CVE-2022-42475

  Esta CVE es una vulnerabilidad de desbordamiento de buffer y de ser exitosa la explotación el atacante podría ejecutar código arbitrario de manera remota.

• CVE-2023-27997 (https://csirt.axtel.com.mx/bulletin/post/35)

Esta CVE trata sobre una vulnerabilidad en SSL VPN permitiendo que un atacante ejecute código de forma remota y es posible debido a una falla en la pre-autenticacion, inclusive es explotable si se cuenta con MFA

• CVE-2024-21762 (https://csirt.axtel.com.mx/bulletin/post/156)

Al igual que las CVE anteriores, esta vulnerabilidad también afecta a SSL-VPN y de ser explotada correctamente, un atacante podría realizar una ejecución de código de manera remota

Estas vulnerabilidades ya se habían identificado por el equipo de Inteligencia de amenazas de Alestra y se liberaron los boletines correspondientes para su divulgación hacia el cliente, sin embargo, como ya se mencionó el problema persistió inclusive después de los parches y mitigaciones emitidos por el equipo de Fortinet.

Recientemente, se ha identificado que actores maliciosos están utilizando las vulnerabilidades antes mencionadas para crear enlaces simbólicos (symlink) desde la carpeta de archivos de idiomas hacia el sistema de archivos raíz. Este enlace, como ya se mencionó, permite que los atacantes tengan acceso de solo lectura al sistema de archivos raíz de los dispositivos comprometidos. Estos archivos podrían contener datos de configuraciones críticas, lo que genera un riesgo importante de seguridad.

Los clientes que nunca han activado SSL-VPN están fuera de riesgo. Por el contrario, si ya se había activado, es posible que el dispositivo se haya visto comprometido. Para ello, Fortinet desplegó perfiles IPS en los productos afectados y notificó directamente a los clientes que habían sido comprometidos. Existen diversos workarounds para mitigar las vulnerabilidades. Uno de ellos es desactivar SSL-VPN, si es posible. Además, la CISA también recomendó restablecer las contraseñas de los usuarios.
 

Versiones Afectadas

Versiones afectadas	Versiones parcheadas
Versión desde 7.2.0 hasta la 7.2.6	Actualizar a la versión 7.2.11
Versión desde 7.0.0 hasta la 7.0.14	Actualizar a la versión 7.0.17
Versión desde 6.4.0 hasta la 6.4.14	Actualizar a la versión 6.4.16
Versión desde 7.4.0 hasta la 7.4.2	Actualizar a la versión 7.4.7

Recomendaciones

• Desactive SSL-VPN de ser posible.
• Restablezca las contraseñas de los usuarios.
• Actualice lo antes posible a las versiones 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 según corresponda con su FortiOS.

Recomendaciones adicionales:

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multi-factor.

Referencias

1. CISA. (2025. abril 11) LDAP Clear-text credentials retrievable with IP modification. Recuperado el 14 de abril del 2025 en: https://www.cisa.gov/news-events/alerts/2025/04/11/fortinet-releases-advisory-new-post-exploitation-technique-known-vulnerabilities
2. FORTINET. (2025. abril 10) Analysis of Threat Actor Activity. Recuperado el 14 de abril del 2025 en: https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
3. SEGU.INFO. (2025. abril 13) Fortinet advierte que atacantes pueden conservar el acceso después de la aplicación de parches. Recuperado el 14 de Abril del 2025 en: https://blog.segu-info.com.ar/2025/04/fortinet-advierte-que-atacantes.html
4. ALESTRA (2023) Fortigate RCE Flaw Vulnerability (CVE-2023-27997). Recuperado el 14 de abril del 2025 en: https://csirt.axtel.com.mx/bulletin/post/35
5. Alestra (2024) Vulnerabilidades críticas en FortiOS: CVE-2024-21762 y CVE-2024-23113. Recuperado el 14 de Abril del 2025 en: https://csirt.axtel.com.mx/bulletin/post/156

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios