El 12 de junio de 2023, se identificó una vulnerabilidad crítica de ejecución remota de código (RCE) previa a la autenticación en los productos Fortigate de Fortinet, concretamente en sus funcionalidades de SSL-VPN. Este fallo de seguridad podría permitir a un atacante interferir a través de la VPN, incluso si la autenticación multifactorial (MFA) está habilitada.
El Centro Criptológico Nacional, a través del CCN-CERT, advirtió de la publicación de varias actualizaciones del firmware Fortigate por parte de Fortinet. Estas actualizaciones corrigen la mencionada vulnerabilidad, cuyo detalle completo no se conocerá hasta la publicación del CVE el 13 de junio.
Para solventar este problema de seguridad, Fortinet lanzó el 9 de junio actualizaciones del firmware FortiOS en sus versiones 6.0.17, 6.2.15, 6.4.13, 7.0.12 y 7.2.5. Estas versiones incorporan comprobaciones de integridad del sistema que impedirán el inicio del dispositivo en caso de encontrarse comprometido. Dada la gravedad del impacto de una explotación exitosa de la vulnerabilidad, se considera esta actualización de seguridad como crítica.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada para evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Fortinet es conocido por emitir parches de seguridad antes de revelar vulnerabilidades críticas. Este enfoque permite a los clientes actualizar sus dispositivos antes de que los actores de amenazas puedan analizar y aprovechar los parches.
Según una búsqueda en Shodan, más de 250.000 firewalls Fortigate son accesibles desde Internet y, dado que este bug afecta a todas las versiones anteriores, es probable que la mayoría estén expuestos. En el pasado, se han explotado fallos en SSL-VPN pocos días después de la liberación de los parches, comúnmente utilizados para obtener acceso inicial a las redes y llevar a cabo robos de datos y ataques de ransomware.
Por tanto, se insta a los administradores a aplicar las actualizaciones de seguridad de Fortinet tan pronto como estén disponibles.
Fortinet ha compartido una declaración en la que reafirma la importancia de una comunicación oportuna y constante con sus clientes para garantizar la mejor protección y seguridad de sus organizaciones. Este proceso sigue las mejores prácticas para una divulgación responsable, asegurando que los clientes tengan la información necesaria para tomar decisiones basadas en el riesgo. Para obtener más información sobre el proceso de divulgación responsable de Fortinet, se puede visitar la página del Equipo de Respuesta a Incidentes de Seguridad de Productos de Fortinet (PSIRT).
Listado de referencias
- Incibe: Vulnerabilidad RCE en dispositivos Fortigate SSL-VPN de Fortinet
- CCN-CERT AV 05/23 Actualización de seguridad en Fortigate
- Alerte Fortinet FortiGate VPN SSL
- Fortinet fixes critical RCE flaw in Fortigate SSL-VPN devices, patch now
- MFA is no protection against this critical new Fortinet vulnerability, CVE-2023-27997
