Un nuevo aviso de seguridad y una actualización
Índice
- [Actualización 14/04/2025] Múltiples vulnerabilidades en FortiOS de Fortinet
- Múltiples vulnerabilides en AiDex
[Actualización 14/04/2025] Múltiples vulnerabilidades en FortiOS de Fortinet
[Actualización 12/02/2024] Se han añadido los siguientes productos a la lista de afectados:
- FortiProxy:
- desde 7.4.0 hasta 7.4.2;
- desde 7.2.0 hasta 7.2.8;
- desde 7.0.0 hasta 7.0.14;
- desde 2.0.0 hasta 2.0.13;
- todas las versiones 1.2;
- todas las versiones 1.1;
- todas las versiones 1.0.
- FortiPAM:
- 1.2.0;
- desde 1.1.0 hasta 1.1.2;
- todas las versiones 1.0.
- FortiSwitchManager:
- desde 7.2.0 hasta 7.2.3;
- desde 7.0.0 hasta 7.0.3.
Las siguientes versiones de FortiOS están afectadas:
- desde 7.4.0 hasta 7.4.2;
- desde 7.2.0 hasta 7.2.6;
- desde 7.0.0 hasta 7.0.13;
- desde 6.4.0 hasta 6.4.14;
- desde 6.2.0 hasta 6.2.15;
- todas las versiones 6.0.
[Actualización 14/04/2025]
Fortinet ha informado que los actores de amenazas han encontrado la forma de mantener el acceso al dispositivo, de forma de solo lectura, incluso después de que se parcheara la vulnerabilidad.
[Actualización 12/02/2024]
Fortinet ha actualizado el contenido de sus avisos para incluir nuevos productos afectados por estas 2 vulnerabilidades.
En relación con la vulnerabilidad CVE-2024-21762, CISA la ha incluido en su catálogo KEV, publicando una alerta en la que, en la misma línea que el mensaje trasladado por el fabricante, informa sobre la potencial explotación de esta vulnerabilidad. Fortinet no ha aportado más detalles sobre la supuesta explotación y hasta el momento no se conoce ninguna prueba de concepto de forma pública. Históricamente, la funcionalidad SSL VPN ha sido objeto de múltiples ataques, por lo que se recomienda la actualización inmediata de los dispositivos afectados.
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
[Actualización 14/04/2025] Para eliminar la persistencia de los actores maliciosos, el fabricante ha realizado las siguientes acciones:
- Se ha creado una firma en el AV/IPS para detectar y eliminar este enlace simbólico de los dispositivos afectados;
- Se han hecho cambios en las últimas versiones de los productos para detectar y eliminar los enlaces simbólicos y asegurarse de que SSL-VPN solo sirve los ficheros que se esperan;
- Contactar con los clientes afectados para urgirles en la instalación de los parches.
El fabricante ha creado las siguientes actualizaciones de los productos para resolver este problema de persistencia:
- FortiOS 7.4, 7.2, 7.0, 6.4: El enlace simbólico fue marcado como malicioso por el motor AV/IPS para que se eliminara automáticamente, si el motor está autorizado y habilitado.
- FortiOS 7.6.2, 7.4.7, 7.2.11 y 7.0.17, 6.4.16: Con esta actualización se elimina el enlace simbólico malicioso y, también, se modifica la interfaz de usuario SSL-VPN para evitar la comunicación de dichos enlaces simbólicos maliciosos.
Asimismo, el fabricante recomienda que una vez que se haya aplicado estos parches para eliminar los enlaces simbólicos, realice las siguientes acciones adicionales:
- Revisar la configuración de todos los dispositivos;
- Tratar toda la configuración como potencialmente comprometida y seguir las acciones recomendadas por el fabricante en caso de tener un dispositivo comprometido.
[Actualización 12/02/2024] Se han añadido las siguientes versiones correctoras a la lista de nuevos productos afectados:
- Actualizar FortiProxy a las siguientes versiones (o superiores):
- 7.4.3;
- 7.2.9:
- 7.0.15;
- 2.0.14.
- Actualizar FortiPAM a las siguientes versiones (o superiores):
- 1.2.1;
- 1.1.3.
- Actualizar FortiSwitchManager a las siguientes versiones (o superiores):
- 7.2.4;
- 7.0.4.
- Si se está utilizando SSL VPN en FortiOS, Fortinet recomienda desactivar SSL VPN como workaround.
- Actualizar FortiOS a las siguientes versiones (o superiores):
- 7.4.3;
- 7.2.7;
- 7.0.14;
- 6.4.15;
- 6.2.16.
[Actualización 14/04/2025]
Fortinet ha informado que varios de sus productos FortiGate permiten el acceso en modo lectura a actores de amenazas mediante vulnerabilidades ya parcheadas. El acceso se produce a través de un enlace simbólico que permanece en el sistema, incluso, después de que se parchee la vulnerabilidad. El enlace simbólico conecta el sistema de archivos de usuario y el sistema de archivos raíz en una carpeta empleada para servir los archivos de idioma para el SSL-VPN. La modificación se produjo en el sistema de archivos de usuario y no fue detectada. De esta forma, incluso si el dispositivo del usuario se actualizaba para instalar el parche, el enlace simbólico permanecía, permitiendo al actor de amenaza el acceso de solo lectura a los ficheros del sistema de archivos, que podría contener, incluso, configuraciones.
IMPORTANTE: Si el usuario nunca habilitó SSL-VPN, entonces no se ve afectado por este fallo.
Las vulnerabilidades explotadas son: CVE-2024-21762, CVE-2023-27997 y CVE-2022-42475.
[Actualización 14/10/2024]
Fortinet ha actualizado el contenido de su aviso para incluir que la vulnerabilidad CVE-2024-23113 podría estar siendo explotada
- Esta vulnerabilidad de escritura fuera de límites en sslvpnd podría permitir a un atacante remoto, no autenticado, ejecutar código o comandos arbitrarios a través de peticiones HTTP especialmente diseñadas. El fabricante informa que la vulnerabilidad podría estar siendo potencialmente explotada. Se ha asignado el identificador CVE-2024-21762 para esta vulnerabilidad.
- Una vulnerabilidad en el uso de cadenas de formato controladas externamente en el demonio fgfmd podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario o comandos a través de peticiones especialmente diseñadas. Se ha asignado el identificador CVE-2024-23113 para esta vulnerabilidad.
Múltiples vulnerabilides en AiDex
AiDex, versiones anteriores a 1.7.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica, que afectan a AiDex en sus versiones anteriores a 1.7, un chatbot LLM, las cuales han sido descubierta por David Utón.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-3578: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-1039
- CVE-2025-3579: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-94
La vulnerabilidad ha sido solucionada por el equipo de AiDex en la versión 1.7.
- CVE-2025-3578: un usuario malicioso y autenticado en Aidex, versiones anteriores a la 1.7, podría listar credenciales de otros usuarios, crear o modificar usuarios existentes en la aplicación, enumerar credenciales de usuarios de entornos de producción o desarrollo. Además, sería posible provocar errores que derivarían en la exfiltración de información sensible, como detalles sobre el software o rutas internas del sistema. Estas acciones podrían llevarse a cabo mediante el uso indebido de la tecnología LLM Prompt (chatbot), a través del endpoint /api/<string-chat>/message, manipulando el contenido del parámetro 'content'.
- CVE-2025-3579: en versiones anteriores a la 1.7 de Aidex, un usuario malicioso autenticado, aprovechando que el registro está abierto, podría ejecutar comandos no autorizados dentro del sistema. Esto incluye la ejecución de comandos del sistema operativo (Unix), la interacción con servicios internos como PHP o MySQL, e incluso la invocación de funciones nativas del framework utilizado, como Laravel o Symfony. Esta ejecución se logra mediante ataques de Prompt Injection a través del endpoint /api/<string-chat>/message, manipulando el contenido del parámetro 'content'.