EXPLOTACIÓN ACTIVA DE VULNERABILIDADES EN FORTINET (SSO)

fortinet
Empresas
Cidadanía
Administración Pública
Vulnerabilidades
Nivel de alerta
Crítico

As vulnerabilidades permiten a elusión completa dos mecanismos de autenticación. Unha vez habilitado FortiCloud SSO, os atacantes poden xerar asercións SAML falsas para iniciar sesión como administradores, exportar configuracións do sistema a través da interface gráfica (GUI) e obter credenciais sensibles.

Observáronse accesos exitosos e descargas de configuración desde enderezos IP externos, o que indica explotación real en contornas operativas.

 

Produtos afectados

  • FortiOS
  • FortiWeb
  • FortiProxy
  • FortiSwitchManager


O risco materialízase cando FortiCloud SSO está habilitado. Aínda que esta opción se atopa desactivada por defecto, pode activarse automaticamente durante o proceso de rexistro do dispositivo se non se desmarca explicitamente a opción correspondente.

 

Versións afectadas e corrixidas

  • FortiOS 7.6 (7.6.0–7.6.3) → 7.6.4 ou superior
  • FortiOS 7.4 (7.4.0–7.4.8) → 7.4.9 ou superior
  • FortiOS 7.2 (7.2.0–7.2.11) → 7.2.12 ou superior
  • FortiOS 7.0 (7.0.0–7.0.17) → 7.0.18 ou superior
  • FortiProxy 7.6 (7.6.0–7.6.3) → 7.6.4 ou superior
  • FortiProxy 7.4 (7.4.0–7.4.10) → 7.4.11 ou superior
  • FortiProxy 7.2 (7.2.0–7.2.14) → 7.2.15 ou superior
  • FortiProxy 7.0 (7.0.0–7.0.21) → 7.0.22 ou superior
  • FortiSwitchManager 7.2 (7.2.0–7.2.6) → 7.2.7 ou superior
  • FortiSwitchManager 7.0 (7.0.0–7.0.5) → 7.0.6 ou superior
  • FortiWeb 8.0 (8.0.0) → 8.0.1 ou superior
  • FortiWeb 7.6 (7.6.0–7.6.4) → 7.6.5 ou superior
  • FortiWeb 7.4 (7.4.0–7.4.9) → 7.4.10 ou superior

 

Indicadores de compromiso (IOC – exemplos)

  • 45.32.153.218
  • 167.179.76.111
  • 199.247.7.182
  • 45.61.136.7
  • 38.54.88.203
  • 38.54.95.226
  • 38.60.212.97

     

Evidencias observadas
Rexistros que mostran inicio de sesión SSO exitoso, seguido da descarga da configuración do sistema desde a interface gráfica, o que indica un compromiso completo do dispositivo.

Medidas urxentes recomendadas

  1. Actualizar inmediatamente os dispositivos ás versións corrixidas.
  2. Deshabilitar FortiCloud SSO se non é estritamente necesario.
  3. Revisar os rexistros de autenticación SSO.
  4. Verificar exportacións de configuración non autorizadas.
  5. Restablecer todas as credenciais administrativas.
  6. Restringir o acceso administrativo desde Internet.
  7. Monitorizar actividade anómala posterior ao acceso.

Impacto potencial

  • Compromiso total do perímetro de rede.
  • Exposición de credenciais e información sensible.
  • Acceso persistente por parte de atacantes.
  • Alto risco de ataques posteriores, incluíndo movemento lateral ou ransomware.

Debido á explotación activa e ao impacto crítico, esta alerta debe ser tratada como prioritaria por todas as organizacións que utilicen produtos Fortinet, especialmente aquelas con dispositivos expostos a Internet.