Las VPN SSL son conexiones seguras y confiables a redes de organizaciones privadas. Una vulnerabilidad como CVE-2024-21762 permite a los atacantes acceder y explotar sistemas en estos canales seguros.
La vulnerabilidad afecta a las versiones de FortiOS 7.4 (antes de 7.4.2), 7.2 (antes de 7.2.6), 7.0 (antes de 7.0.13), 6.4 (antes de 6.4.14), 6.2 (antes de 6.2.15), 6.0 (todas las versiones) . Si bien los parches que se han implementado con los sucesivos lanzamientos de las versiones 6.2, 6.4, 7.0, 7.2 y 7.4 de Fortinet han llegado al final del soporte, la versión 7.6 no se ve afectada por la vulnerabilidad.
Se recomienda a los usuarios que no puedan actualizar a versiones parcheadas que desactiven SSL VPN como solución alternativa.
Fortinet ha advertido contra una vulnerabilidad crítica más (CVSS 9.8), sin explotaciones conocidas aún, rastreada bajo CVE-2024-23113 que también permite la ejecución remota de código (RCE) mediante el uso de la «vulnerabilidad de cadena de formato controlada externamente» en el fgfmd de FortiOS. daemon, otro módulo de autenticación de conexión segura.
Fortinet advierte contra la explotación del Estado-nación
En el informe, Fortinet subrayó las tácticas, técnicas y procedimientos (TTP) utilizados por el actor de amenazas respaldado por China, Volt Typhoon, para explotar los errores conocidos de Fortinet y obtener acceso inicial a los sistemas de destino.
La compañía reveló que los piratas informáticos chinos probablemente explotaron los días N de Fortinet revelados en diciembre de 2022 (CVE-2022-42475), y junio de 2023 (CVE-2023-27997) para apuntar a organizaciones de infraestructura crítica, ya que la investigación del incidente reveló el uso de binarios de vida de la tierra (LOTL) consistentes con los TTP de Volt Typhoon.