Fortinet ha alertado a sus clientes sobre una nueva vulnerabilidad zero-day que está siendo explotada activamente para comprometer firewalls FortiGate y acceder a redes empresariales. El fallo de seguridad, identificado como CVE-2025-24472, permite a atacantes remotos obtener privilegios de superadministrador mediante solicitudes maliciosas al proxy CSF.
La vulnerabilidad afecta a FortiOS en sus versiones 7.0.0 a 7.0.16 y FortiProxy en sus versiones 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12. Fortinet añadió este CVE a un aviso de seguridad previo en el que advertía sobre otra vulnerabilidad de autenticación (CVE-2024-55591), que puede ser explotada mediante solicitudes maliciosas al módulo websocket de Node.js.
Ataques en curso y posibles impactos
Los ciberdelincuentes están aprovechando ambas vulnerabilidades para generar cuentas de administrador o usuarios locales en dispositivos comprometidos, integrándolos en grupos de usuarios SSL VPN nuevos o ya existentes. También han sido detectadas modificaciones en políticas de firewall y configuraciones críticas, así como el uso de cuentas fraudulentas para establecer túneles hacia la red interna.
Se ha confirmado que firewalls FortiGate con interfaces de administración expuestas a Internet han sido blanco de ataques desde mediados de noviembre de 2024. Según los informes, los ataques se han desarrollado en varias fases:
- Exploración de vulnerabilidades (16 al 23 de noviembre de 2024)
- Reconocimiento (22 al 27 de noviembre de 2024)
- Configuración de SSL VPN (4 al 7 de diciembre de 2024)
- Movimiento lateral dentro de las redes afectadas (16 al 27 de diciembre de 2024)
Los investigadores han detectado diferencias en las tácticas y en la infraestructura utilizada, lo que sugiere la posible participación de múltiples actores de amenazas. Sin embargo, el uso de la herramienta jsconsole fue un elemento común en los ataques.
Recomendaciones de Fortinet
Para mitigar el riesgo de explotación, Fortinet recomienda a las organizaciones que no puedan aplicar inmediatamente las actualizaciones de seguridad:
- Deshabilitar el acceso a la interfaz administrativa HTTP/HTTPS en los firewalls afectados.
- Restringir el acceso a la interfaz de administración mediante políticas de acceso local.
- Aplicar las actualizaciones de seguridad tan pronto como estén disponibles.
Se notificó a Fortinet sobre la actividad maliciosa el 12 de diciembre de 2024, y la compañía confirmó la investigación cinco días después.
Solución a las vulnerabilidades
Fortinet ha lanzado parches de seguridad que solucionan estas vulnerabilidades. Se recomienda a todas las organizaciones actualizar a las últimas versiones de FortiOS y FortiProxy de inmediato. Además, se debe auditar la configuración del firewall, eliminar cuentas sospechosas y revisar los registros de acceso para detectar cualquier actividad inusual.
Conclusión
Este incidente subraya la importancia de mantener una postura de seguridad proactiva, especialmente cuando se trata de dispositivos perimetrales expuestos a Internet. Las organizaciones deben asegurarse de implementar controles de acceso adecuados y aplicar parches de seguridad de manera oportuna para mitigar el riesgo de explotación de vulnerabilidades zero-day.
INDICADORES DE COMPROMISO
