Ataque silencioso: Fortinet oculta un 0day en infraestructuras críticas

Fortinet lleva más de una semana sin divulgar información sobre una vulnerabilidad de día cero, a pesar de los informes que indican que los atacantes la están utilizando para ejecutar código malicioso en servidores que gestionan infraestructuras críticas.

La empresa aún no ha emitido comunicados públicos sobre la vulnerabilidad ni ha especificado qué software se ha visto afectado. Esta situación sigue la práctica habitual de Fortinet de mantener silencio sobre vulnerabilidades de día cero (zero-day), las cuales ya se han utilizado en ataques contra sus clientes en el pasado. Ante la falta de información oficial, los usuarios y especialistas han estado discutiendo el problema en redes sociales al menos desde el 13 de octubre.

Según la información en Reddit, la vulnerabilidad afecta a FortiManager, que se utiliza para gestionar dispositivos de red. Las versiones vulnerables son:

• 7.6.0 y anteriores;
• 7.4.4 y anteriores;
• 7.2.7 y anteriores;
• 7.0.12 y anteriores;
• 6.4.14 y anteriores.

Se recomienda actualizar a las versiones 7.6.1, 7.4.5, 7.2.8, 7.0.13 o 6.4.15. También se informa que la versión en la nube, FortiManager Cloud, podría estar expuesta a ataques.

Algunos administradores de redes basadas en FortiGate han recibido notificaciones recomendando la actualización. Sin embargo, otros usuarios no han recibido dichas alertas, y Fortinet no ha emitido advertencias públicas ni ha registrado la vulnerabilidad en la base de datos CVE, lo que dificulta el seguimiento de la amenaza.

De acuerdo con el investigador Kevin Beaumont, el problema está relacionado con las configuraciones predeterminadas en FortiManager, que permiten registrar dispositivos sin verificar los números de serie. En un comentario remoto en Reddit se afirmó que esta vulnerabilidad permite a los atacantes robar el certificado de FortiGate, registrar un dispositivo en FortiManager y obtener acceso a la red.

Beaumont explicó que los hackers registran dispositivos falsos con nombres como "localhost" y los usan para ejecutar código remoto en FortiManager. Estas acciones permiten acceder al control de dispositivos reales, así como sincronizar configuraciones y datos de autenticación.

En otro comentario , se discutió que los ciberdelincuentes podrían robar certificados de autenticación y registrar dispositivos propios para infiltrarse en la red administrada. Esto dificulta la defensa, ya que incluso un dispositivo con un certificado válido puede ser utilizado para un ataque.

Beaumont también sugirió que hackers chinos podrían haber explotado esta vulnerabilidad para infiltrarse en redes corporativas desde principios de año. Más de 60 000 conexiones a través del protocolo FGFM de Fortinet, necesario para la comunicación entre FortiGate y FortiManager, están disponibles en Internet, lo que aumenta los riesgos.

Este protocolo permite a los atacantes utilizar certificados FortiGate para registrar dispositivos falsos y luego ejecutar código en FortiManager. Al gestionar los dispositivos a través de FortiManager, los atacantes pueden modificar configuraciones, extraer contraseñas e infiltrarse en las redes de los usuarios finales. La situación se complica aún más por los problemas de acceso al portal de soporte de Fortinet, lo que podría indicar un intento de la empresa de evitar cualquier mención pública del problema.