TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por Fortinet a los productos afectados.
Vector de ataque: Remoto.
Impacto: Robo de credenciales de inicio de sesión.

Descripción

Investigadores en seguridad han identificado que un usuario malicioso ha publicado un programa que contiene una lista con dispositivos Fortinet VPN vulnerables a la falla CVE-2018-13379 (CVSS v3.1: 9.8 [Crítico]), lo cual podría ocasionar que se roben las credenciales de acceso de los equipos afectados. Esta falla permite a los atacantes remotos no autenticados acceder a los archivos del sistema mediante solicitudes HTTP especialmente diseñadas.

Dicha vulnerabilidad permite a los atacantes acceder a los archivos “sslvpn_websession” de las VPN de Fortinet para robar las credenciales de inicio de sesión, que podrían exponer a la empresa a un incidente cibernético, por ejemplo, un ataque de ransomware.

En la lista encontrada se encuentran 49,577 dispositivos vulnerables y dominios gubernamentales de todo el mundo, así como de bancos y compañías financieras reconocidas en diferentes países.

Cabe mencionar que esta vulnerabilidad, se cree que fue aprovechada para interrumpir los sistemas de apoyo a las elecciones de gobierno de EE.UU y durante agosto de 2019, se identificó una campaña maliciosa que aprovechaba esta falla, Actualmente se han detectado alrededor de 50,000 dispositivos con esta vulnerabilidad, a pesar de que este error fue identificado en 2019 y actualmente ya existen actualizaciones para corregirlo.

Nivel de riesgo

  • CVSS v3.1 : 9.8 [Crítico]

Sistemas/tecnologías afectadas:

  • FortiOS versión 5.6.3 al 5.6.7
  • FortiOS versión 6.0.0 al 6.0.4
  • FortiOS versión 5.4.6 al 5.4.12

Medidas de erradicación

Referencias