Fecha de divulgación (fuente): 14 de enero de 2025
Fecha en que se comunicó que había sido explotada activamente (fuente): 14 de enero de 2025
CVE-2024-55591 es una vulnerabilidad de omisión de autenticación que afecta a las versiones 7.0.0 a 7.0.16 de FortiOS y a las versiones 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12 de FortiProxy, con una puntuación CVSS de 9,8.
Este fallo permite a los atacantes no autenticados explotar el websocket de Node.js websocket a través de peticiones especialmente diseñadas, otorgándoles potencialmente privilegios de superadministrador sobre los sistemas afectados.
Se sabe que esta vulnerabilidad está siendo explotada activamente, con múltiples informes de atacantes dirigidos a dispositivos Fortinet que tienen sus interfaces de gestión expuestas a la Internet pública. Arctic Wolf identificó actividad de explotación antes de la divulgación de esta vulnerabilidad, incluida la observación de inicios de sesión administrativos no autorizados, creación de cuentas y cambios de configuración que se remontan a mediados de noviembre de 2024. Posteriormente se determinó que esta actividad estaba relacionada con esta vulnerabilidad.
Además, esta vulnerabilidad se añadió a la lista de vulnerabilidades explotadas conocidas de CISA el 14 de enero de 2025, lo que pone de relieve la urgencia de que las organizaciones hagan frente a esta amenaza.
Se recomienda evitar exponer públicamente las interfaces de administración de los dispositivos de red siempre que sea posible, o endurecerlas si deben ser accesibles públicamente.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-55591 - CVSS 9.8 (crítico) - asignado por Fortinet Inc. |
| Descripción de la vulnerabilidad |
Una vulnerabilidad de evasión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir a un atacante remoto obtener privilegios de superadministrador a través de solicitudes manipuladas al módulo websocket de Node.js. |
| Fecha de divulgación |
14 de enero de 2025 |
| Activos afectados |
Módulo websocket Node.js en Fortinet FortiOS y FortiProxy |
| Versiones de software vulnerables |
- Fortinet FortiOS 7.0.0 a 7.0.16
- Fortinet FortiProxy 7.2.0 a 7.2.12
- Fortinet FortiProxy 7.0.0 a 7.0.19
|
| ¿PoC disponible? |
Aunque no es un exploit oficial, WatchTowr Labs publicó un script python en github que detecta si el host es vulnerable al exploit (el mecanismo de detección no es compatible con FortiProxy) |
| Estado de explotación |
Esta vulnerabilidad se añadió a CISA KEV el 14 de enero de 2025 |
| Estado del parche |
Los siguientes parches están disponibles con instrucciones para su instalación en el sitio web de Fortinet aviso de seguridad:
- Fortinet FortiOS 7.0.0 a 7.0.16 (corregido en 7.0.17 o superior)
- Fortinet FortiProxy 7.2.0 a 7.2.12 (corregido en 7.2.13 o superior)
- Fortinet FortiProxy 7.0.0 a 7.0.19 (corregido en 7.0.20 o superior)
|
Censys Perspectiva
En el momento de escribir estas líneas, Censys observaba 51 instancias FortiProxy expuestas y 3,445,758 dispositivos expuestos ejecutando FortiOS. Algunas de estas instancias se solapan, pero vemos un total de 3,445,797 dispositivos.
16% de ellos están geolocalizados en Estados Unidos. Tenga en cuenta que no todos los casos observados son necesariamente vulnerables, ya que no siempre disponemos de versiones específicas.
Mapa de instancias expuestas de FortiOS y FortiProxy:
Censys Consulta de búsqueda:
services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Censys Consulta ASM:
host.services.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) or web_entity.instances.software: (vendor="Fortinet" and (product="FortiOS" or product="FortiProxy")) and not labels: {honeypot, tarpit}
Referencias
