Descripción
Investigadores en seguridad han identificado que un usuario malicioso ha publicado un programa que contiene una lista con dispositivos Fortinet VPN vulnerables a la falla CVE-2018-13379 (CVSS v3.1: 9.8 [Crítico]), lo cual podría ocasionar que se roben las credenciales de acceso de los equipos afectados. Esta falla permite a los atacantes remotos no autenticados acceder a los archivos del sistema mediante solicitudes HTTP especialmente diseñadas.
Dicha vulnerabilidad permite a los atacantes acceder a los archivos “sslvpn_websession” de las VPN de Fortinet para robar las credenciales de inicio de sesión, que podrían exponer a la empresa a un incidente cibernético, por ejemplo, un ataque de ransomware.
En la lista encontrada se encuentran 49,577 dispositivos vulnerables y dominios gubernamentales de todo el mundo, así como de bancos y compañías financieras reconocidas en diferentes países.
Cabe mencionar que esta vulnerabilidad, se cree que fue aprovechada para interrumpir los sistemas de apoyo a las elecciones de gobierno de EE.UU y durante agosto de 2019, se identificó una campaña maliciosa que aprovechaba esta falla, Actualmente se han detectado alrededor de 50,000 dispositivos con esta vulnerabilidad, a pesar de que este error fue identificado en 2019 y actualmente ya existen actualizaciones para corregirlo.
Nivel de riesgo
- CVSS v3.1 : 9.8 [Crítico]
Sistemas/tecnologías afectadas:
- FortiOS versión 5.6.3 al 5.6.7
- FortiOS versión 6.0.0 al 6.0.4
- FortiOS versión 5.4.6 al 5.4.12
Medidas de erradicación
- Aplicar las actualizaciones liberadas por Fortinet a los productos afectados del siguiente sitio: https://docs.fortinet.com/
product/fortigate/6.0
Referencias