La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha lanzado una advertencia urgente después de confirmar que ciberatacantes están explotando una vulnerabilidad crítica de ejecución remota de código (RCE) en FortiOS. Identificada como CVE-2024-23113, esta falla afecta a dispositivos Fortinet que no han sido actualizados, permitiendo a actores maliciosos ejecutar comandos o código arbitrario sin necesidad de autenticación y a través de ataques de baja complejidad que no requieren interacción del usuario.
La vulnerabilidad se encuentra en el daemon fgfmd de Fortinet, responsable de manejar solicitudes de autenticación y mensajes de keep-alive entre FortiGate y FortiManager, además de llevar a cabo tareas críticas como la actualización de archivos y bases de datos. Fortinet ha señalado que CVE-2024-23113 afecta a varias versiones de sus productos, incluidas FortiOS 7.0 y superiores, FortiPAM 1.0 y posteriores, FortiProxy 7.0 y superiores, así como FortiWeb 7.4.
Aunque el problema fue detectado y corregido por Fortinet en febrero, las advertencias iniciales no han evitado que los atacantes exploten la debilidad en dispositivos vulnerables. La empresa había recomendado a los administradores bloquear el acceso al daemon fgfmd desde todas las interfaces y sugirió la implementación de políticas locales para restringir las conexiones FGFM a direcciones IP específicas. No obstante, advirtió que tales medidas sólo reducen la superficie de ataque sin erradicar el riesgo si el ataque proviene de una IP autorizada.
En respuesta a esta amenaza creciente, CISA ha incluido la CVE-2024-23113 en su catálogo de Vulnerabilidades Explotadas Conocidas, instruyendo a las agencias federales estadounidenses a corregir sus dispositivos FortiOS en un plazo de tres semanas, antes del 30 de octubre. Esta directiva, BOD 22-01, que fue establecida originalmente en noviembre de 2021, busca fortalecer la ciberseguridad en las redes federales.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la infraestructura federal”, declaró CISA en su comunicado oficial.
El historial de vulnerabilidades explotadas en FortiOS es motivo de preocupación. En junio, el Servicio de Inteligencia y Seguridad Militar de los Países Bajos (MIVD) reportó que hackers chinos aprovecharon otra vulnerabilidad en FortiOS (CVE-2022-42475) entre 2022 y 2023, infectando al menos 20.000 dispositivos de seguridad de red Fortigate con malware. Estos incidentes destacan la gravedad de las brechas de seguridad en los sistemas de Fortinet.
La explotación activa de CVE-2024-23113 resalta la urgente necesidad de que tanto las organizaciones como las entidades gubernamentales actualicen sus dispositivos Fortinet y refuercen sus medidas de seguridad. No actuar con celeridad podría resultar en la vulneración de redes críticas por parte de actores malintencionados.
