El Federal Bureau of Investigation (FBI) y la Cybersecurity and Infraestructure Security Agency (CISA) han emitido un aviso de ciberseguridad alertando de escaneos de vulnerabilidades en FortiOS por parte de actores de amenazas persistentes avanzadas. Esto correspondería a una primera fase de reconocimiento para a posteriori, llevar a cabo ataques en los sistemas vulnerables y conseguir acceso a las redes e infraestructuras de las organizaciones objetivo.
Dichas agencias comunican que los escaneos de vulnerabilidades se están llevando a cabo en los puertos 4443, 8443 y 10443 para la vulnerabilidad CVE-2018-13379 y los enumerados en las vulnerabilidades CVE-2020-12812 y CVE-2019-5591.
Recomendaciones
Se recomienda a aquellos organismos que tengan desplegados dispositivos con FortiOS, revisen y apliquen aquellas actualizaciones que remedien las vulnerabilidades mencionadas anteriormente y recopiladas en la siguiente tabla.
| ID CVE | Riesgo | Producto afectado | Versiones corregidas |
|---|---|---|---|
|
CVE-2018-13379 |
Revelación de información |
FortiOS 6.0 - 6.0.0 a 6.0.4 |
FortiOS 5.4.13, 5.6.8, 6.0.5 o 6.2.0 y superiores. |
|
CVE-2020-12812 |
Operacional, Autenticación impropia |
FortiOS 6.4.0 |
FortiOS 6.4.1 o posterior. |
|
CVE-2019-5591 |
Revelación de información |
FortiOS 6.2.0 e inferiores. |
FortiOS 6.0.3 a 6.2.0, habilitar la opción CLI que comprueba la identidad del servidor LDAP. |
Referencias
-
- https://www.ic3.gov/Media/News/2021/210402.pdf
- CVE – CVE-2018-13379 (mitre.org)
- FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests | FortiGuard
- CVE – CVE-2020-12812 (mitre.org)
- FortiOS SSL VPN 2FA bypass by changing username case | FortiGuard
- CVE – CVE-2019-5591 (mitre.org)
- FortiGate default configuration does not verify the LDAP server identity. | FortiGuard