Fortinet ha parcheado una vulnerabilidad de alta gravedad en múltiples servicios que permitía el acceso remoto de los actores de amenazas y estaba siendo abusada en la naturaleza.
En un aviso de seguridad publicado a fines de la semana pasada, la compañía describió la falla como una omisión de autenticación en la interfaz de administración, lo que permite a las personas no autenticadas iniciar sesión en los firewalls FortiGate, los proxies web FortiProxy (se abre en una pestaña nueva)y las instancias de administración locales de FortiSwitch Manager.
La falla se rastrea como CVE-2022-40684.
Asuntos urgentes
«Una omisión de autenticación usando una ruta alternativa o una vulnerabilidad de canal [CWE-288] en FortiOS, FortiProxy y FortiSwitchManager pueden permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas», se lee en el anuncio de Fortinet.
La compañía también dijo que el parche se lanzó este jueves y agregó que notificó a algunos de sus clientes por correo electrónico, instándolos a desactivar las interfaces de usuario de administración remota “con la máxima urgencia”.
Un par de días después de lanzar el parche, la compañía dio a conocer más detalles, alegando que encontró evidencia de al menos una campaña de la vida real que aprovechaba la falla:
«Fortinet está al tanto de una instancia en la que se explotó esta vulnerabilidad y recomienda validar de inmediato sus sistemas contra el siguiente indicador de compromiso en los registros del dispositivo: usuario = «Local_Process_Access», dijo la compañía.
Estos son los productos de Fortinet que deben parchearse de inmediato:
- FortiOS: 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy: 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager: 7.2.0, 7.0.0
De acuerdo a BleepingEquipoal menos 140 000 cortafuegos FortiGate (se abre en una pestaña nueva) se puede acceder a través de Internet y están «probablemente» expuestos a ataques, si sus interfaces de administración administrativa también están expuestas, dijo. Aquellos que no puedan parchear sus puntos finales de inmediato deben bloquear a los atacantes deshabilitando las interfaces de administración HTTP/HTTPS o limitar las direcciones IP que tienen acceso a través de Política local, se explicó.
«Si estos dispositivos no se pueden actualizar de manera oportuna, la administración HTTPS orientada a Internet debe desactivarse inmediatamente hasta que se pueda realizar la actualización», concluyó Fortinet.
Vía: BleepingComputer (se abre en una pestaña nueva)