Fortinet ha publicado 51 avisos de seguridad que contemplan 55 vulnerabilidades, las cuales fueron informadas oportunamente el 15 de enero 2025. De estas, 2 están clasificadas con severidad Crítica, las cuales permiten a un atacante malicioso ejecutar código de forma remota en los sistemas afectados de FortiOS y FortiSwitch.
Severidad Crítica
CVE-2023-37936 [CVSSv3.0: 9.6]
Secreto de sesión codificado de forma rígida que conduce a la ejecución remota de código no autenticado
El problema radica en que FortiSwitch incluye una clave criptográfica incrustada en el código fuente. Estas claves codificadas son valores predeterminados que no cambian de un despliegue a otro, lo que significa que cualquier atacante que obtenga acceso a esa clave (ya sea porque se filtró, porque fue descubierta mediante ingeniería inversa, o porque está incluida en una versión pública del software) podría aprovecharla.
Una vez que el atacante posee la clave, puede utilizarla para generar solicitudes especialmente diseñadas. Estas solicitudes engañan al sistema para que las considere legítimas, permitiendo al atacante evadir la autenticación y ejecutar comandos arbitrarios o código no autorizado en el dispositivo afectado. En esencia, esto convierte a la vulnerabilidad en un acceso directo no autenticado para la ejecución remota de código.
El impacto principal es que un atacante no necesita credenciales válidas ni otros privilegios. Con solo conocer la clave incrustada, puede comprometer completamente el dispositivo afectado, lo que puede incluir desde la modificación de configuraciones críticas hasta el control total del sistema, habilitando actividades maliciosas como el espionaje, la interrupción de servicios, o el uso del dispositivo como punto de entrada para ataques adicionales en la red.
Versiones afectadas:
- FortiSwitch 7.4 (7.4.0)
- FortiSwitch 7.2 (7.2.0 – 7.2.5)
- FortiSwitch 7.0 (7.0.0 – 7.0.7)
- FortiSwitch 6.4 (6.4.0 – 6.4.13)
- FortiSwitch 6.2 (6.2.0 – 6.2.7)
Recomendación:
Migrar a las versiones corregidas mencionadas en la tabla de soluciones, o evitar el uso del sistema afectado hasta que se pueda aplicar una actualización. No se especifican métodos temporales alternativos.
CVE-2024-55591 [CVSSv3.0: 9.6]
Omisión de autenticación en el módulo websocket de Node.js
La vulnerabilidad se origina en el módulo websocket de Node.js utilizado en FortiOS y FortiProxy, donde no se implementa correctamente una validación de autenticación en todas las rutas o canales disponibles. Esto significa que hay un camino alternativo que, si se conoce y se utiliza adecuadamente, permite a un atacante remoto acceder al sistema sin pasar por las credenciales administrativas habituales.
En otras palabras, el atacante puede enviar solicitudes especialmente diseñadas al módulo websocket, las cuales son aceptadas y tratadas como válidas incluso sin autenticación previa. Este bypass le otorga los privilegios más altos (superadministrador) y, por lo tanto, un control completo sobre el dispositivo afectado. Desde este punto, el atacante podría realizar cambios en la configuración, crear cuentas administrativas adicionales, manipular políticas de firewall o redirigir tráfico de la red.
El riesgo se incrementa porque esta técnica ya se ha visto activa “in the wild,” lo que significa que atacantes reales la están utilizando. Esto no solo confirma que es una vulnerabilidad práctica, sino que también pone en riesgo cualquier sistema afectado que no se haya actualizado o protegido con mitigaciones adecuadas.
Versiones afectadas:
- FortiOS 7.0 (7.0.0 – 7.0.16)
- FortiProxy 7.2 (7.2.0 – 7.2.12) y 7.0 (7.0.0 – 7.0.19).
Recomendación:
- A modo de workarround deshabilitar la interfaz administrativa HTTP/HTTPS, restringir el acceso por IP mediante políticas locales y usar nombres de usuario administrativos que no sean estándar y que no se puedan adivinar fácilmente. Esto ayuda a mitigar el ataque hasta que se implemente la actualización correspondiente.
- A modo de mitigación se debe realizar actualización según indica fabricante.
- Efectuar bloqueo y monitoreo de las siguientes IP catalogadas como maliciosas:
45.55.158[.]47 (más usada por atacante)
87.249.138[.]47
155.133.4[.]175
37.19.196[.]65
149.22.94[.]37
Plan de acción global
- Instalar a la brevedad posible, las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
- Para FortiOS, revisar el workaround.
- Para FortiSwitch, no existe workaround.
- Efectuar bloqueo y monitoreo de los IoC proporcionados en este boletín.
Fuentes Utilizadas
