Se ha detectado una vulnerabilidad del tipo Zero-Day que está siendo activamente explotada en dispositivos FortiGate.
Productos afectados
- Dispositivos FortiGate con firmware versión 7.0.14 a 7.0.16.
Impacto
Esta vulnerabilidad podría permitir a un actor malicioso, de manera remota, obtener acceso administrativo no autorizado, modificar configuraciones críticas, extraer credenciales y comprometer la seguridad de la red.
Observación de Ataque
- Acceso administrativo no autorizado.
- Modificación de configuraciones de firewall.
- Creación de cuentas de administrador.
- Configuración de accesos maliciosos mediante SSL VPN.
- Extracción de credenciales utilizando la técnica DCSync.
Recomendaciones
- Actualizar los productos afectados a una versión que mitigue la vulnerabilidad.
- Deshabilitar acceso público a las interfaces de gestión de los dispositivos FortiGate.
- Actualizar el firmware a la última versión estable proporcionada por Fortinet.
- Implementar autenticación multifactor (MFA) para proteger accesos administrativos.
- Monitorear actividad sospechosa, como inicios de sesión desde direcciones IP inusuales.
- Realizar análisis de seguridad para identificar posibles compromisos en la red.
Referencias
- https://cybersecuritynews.com/fortinet-fortigate-firewalls-under-attack-by-exploit-a-zero-day-vulnerability/#google_vignette
- https://www.arcticwolf.com
- https://www.fortinet.com