Un actor de amenazas anónimo afirma que una vulnerabilidad Zero-Day presente
en los firewalls FortiGate puede explotarse remotamente, lo que permite al
atacante ejecutar código arbitrario sin autenticación.
El actor de amenazas publicó en un foro sobre la vulnerabilidad de día cero,
afirmando que el exploit otorgaría al atacante control total sobre el
dispositivo afectado, permitiéndole extraer archivos de configuración de
FortiOS y otra información confidencial, como credenciales, estado de la
autenticación de dos factores, etc.
La
firma de ciberseguridad ThreatMon advirtió
sobre las afirmaciones del actor de amenazas. La publicación afirma que la
vulnerabilidad permite la ejecución remota de código (RCE) sin autenticación y
el acceso completo a la configuración de FortiOS, lo que permite a los
atacantes tomar el control total de los dispositivos vulnerables sin necesidad
de credenciales. La lista incluye un desglose de los archivos de configuración
extraídos, que supuestamente contienen datos confidenciales como:
-
Credenciales de usuario local (local_users.json), incluyendo contraseñas
cifradas -
Permisos de la cuenta de administrador y relaciones de confianza
(admin_accounts.json) - Estado de 2FA mediante FortiToken (two_factor.json)
-
Políticas completas de firewall, reglas NAT, asignaciones de IP y recursos
internos
Casualmente, la publicación del actor de amenazas coincidió con la publicación
por parte de Fortinet de un
aviso que detallaba
la explotación de vulnerabilidades conocidas en los productos FortiOS y
FortiProxy.
Noticia en desarrollo…