boletines

Vulnerabilidad crítica en FortiManager: Cibercriminales aprovechan fallo de autenticación para ejecutar código remoto

October 23, 2024

Recientemente, se ha identificado una vulnerabilidad crítica en FortiManager, un sistema clave para la gestión centralizada de dispositivos Fortinet, que permite a cibercriminales ejecutar código o comandos arbitrarios de manera remota. Este fallo, relacionado con la falta de autenticación para funciones críticas (CWE-306) en el Demon de fgfmd de FortiManager, está siendo explotado activamente en la naturaleza, lo que aumenta el riesgo de compromisos severos en las redes corporativas.

Versión afectada y solución disponible

La vulnerabilidad afecta a múltiples versiones de FortiManager y FortiManager Cloud. A continuación, se listan las versiones afectadas y las soluciones recomendadas por Fortinet:

  • FortiManager 7.6: Afecta la versión 7.6.0; se recomienda actualizar a la versión 7.6.1 o superior.
  • FortiManager 7.4: Afecta las versiones de 7.4.0 a 7.4.4; se recomienda actualizar a la versión 7.4.5 o superior.
  • FortiManager 7.2: Afecta las versiones de 7.2.0 a 7.2.7; se recomienda actualizar a la versión 7.2.8 o superior.
  • FortiManager 7.0: Afecta las versiones de 7.0.0 a 7.0.12; se recomienda actualizar a la versión 7.0.13 o superior.
  • FortiManager 6.4: Afecta las versiones de 6.4.0 a 6.4.14; se recomienda actualizar a la versión 6.4.15 o superior.
  • FortiManager 6.2: Afecta las versiones de 6.2.0 a 6.2.12; se recomienda actualizar a la versión 6.2.13 o superior.
  • FortiManager Cloud: Algunas versiones de 7.4 y 7.2 están afectadas; se recomienda migrar o actualizar según el caso.
Impacto y recomendaciones

Las versiones de FortiManager afectadas permiten que un atacante no autenticado envíe solicitudes especialmente diseñadas para ejecutar comandos maliciosos en el sistema. Los informes indican que esta vulnerabilidad ya ha sido explotada activamente en el entorno salvaje, con ataques centrados en la exfiltración de archivos que contienen IPs, credenciales y configuraciones de dispositivos gestionados.

Además, ciertos modelos antiguos de FortiAnalyzer, cuando tienen habilitada la función FortiManager, también son vulnerables. Entre ellos están los modelos 1000E, 1000F, 2000E, 3000E/F/G, y otros.

 

Fortinet ha proporcionado varias alternativas de mitigación
  1. Actualizar a las versiones parcheadas indicadas.
  2. Configurar políticas locales para permitir solo direcciones IP autorizadas de dispositivos FortiGate.
  3. Implementar certificados personalizados para autenticar dispositivos gestionados.
Vulnerabilidad crítica en FortiManager: Cibercriminales aprovechan fallo de autenticación para ejecutar código remotoVulnerabilidad crítica en FortiManager: Cibercriminales aprovechan fallo de autenticación para ejecutar código remoto
Riesgo y acciones recomendadas

Hasta el momento, no se han detectado instaladores de malware de bajo nivel o puertas traseras en los sistemas comprometidos. Sin embargo, se recomienda a las organizaciones afectadas que cambien las credenciales de todos los dispositivos gestionados y revisen cuidadosamente la configuración de FortiManager para detectar modificaciones no autorizadas.

Recuperación

Fortinet sugiere realizar copias de seguridad de la configuración del FortiManager antes de la identificación de indicadores de compromiso. Dependiendo de la severidad del ataque, existen varios métodos de recuperación, desde la reinstalación completa del sistema hasta la verificación manual de configuraciones actuales.

Este ataque destaca nuevamente la importancia de mantener actualizados los sistemas de gestión de seguridad y de aplicar las mejores prácticas de mitigación para reducir el riesgo de exposición ante vulnerabilidades críticas.

Related Posts
Clear Filters
Patch Tuesday junio 2025: se corrigen vulnerabilidades bajo ataque activo
Patch Tuesday de junio 2025 corrige fallas críticas activamente explotadas
Patch Tuesday junio 2025: se corrigen vulnerabilidades bajo ataque activo
boletines Vulnerabilities
Patch Tuesday junio 2025: se corrigen vulnerabilidades bajo ataque activo

La empresa Microsoft lanzó una importante cantidad de actualizaciones para vulnerabilidades que estaban siendo explotadas, a este boletín se le…

Read More
Exploit de zero-day en Fortinet provoca ejecución remota
Exploit para zero-day en Fortinet con ejecución remota
Exploit de zero-day en Fortinet provoca ejecución remota
boletines Vulnerabilities
Exploit de zero-day en Fortinet provoca ejecución remota

Fortinet ha confirmado que existe una vulnerabilidad crítica sin parche (zero-day) en sus productos FortiOS y FortiProxy, identificada como CVE-2025-24472,…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required