Un actor de amenazas anónimo afirma que una vulnerabilidad Zero-Day presente en los firewalls FortiGate puede explotarse remotamente, lo que permite al atacante ejecutar código arbitrario sin autenticación.
El actor de amenazas publicó en un foro sobre la vulnerabilidad de día cero, afirmando que el exploit otorgaría al atacante control total sobre el dispositivo afectado, permitiéndole extraer archivos de configuración de FortiOS y otra información confidencial, como credenciales, estado de la autenticación de dos factores, etc.
La firma de ciberseguridad ThreatMon advirtió sobre las afirmaciones del actor de amenazas. La publicación afirma que la vulnerabilidad permite la ejecución remota de código (RCE) sin autenticación y el acceso completo a la configuración de FortiOS, lo que permite a los atacantes tomar el control total de los dispositivos vulnerables sin necesidad de credenciales. La lista incluye un desglose de los archivos de configuración extraídos, que supuestamente contienen datos confidenciales como:
- Credenciales de usuario local (local_users.json), incluyendo contraseñas cifradas
- Permisos de la cuenta de administrador y relaciones de confianza (admin_accounts.json)
- Estado de 2FA mediante FortiToken (two_factor.json)
- Políticas completas de firewall, reglas NAT, asignaciones de IP y recursos internos
Casualmente, la publicación del actor de amenazas coincidió con la publicación por parte de Fortinet de un aviso que detallaba la explotación de vulnerabilidades conocidas en los productos FortiOS y FortiProxy.
Noticia en desarrollo...