El Federal Bureau of Investigation (FBI) i la Cybersecurity and Infraestructure Security Agency (CISA) han emés un avís de ciberseguretat, alertant d’escanejos de vulnerabilitats en FortiOS per part d’actors d’amenaces persistents avançades. Això correspondria a una primera fase de reconeixement per a dur a terme, a posteriori, atacs en els sistemes vulnerables i aconseguir accés a les xarxes i infraestructures de les organitzacions objectiu.
Aquestes agències comuniquen que els escanejos de vulnerabilitats s’estan duent a terme en els ports 4443, 8443 i 10443 per a la vulnerabilitat CVE-2018-13379, i els enumerats en les vulnerabilitats CVE-2020-12812 i CVE-2019-5591.
Recomanacions
Es recomana a aquells organismes que tinguen desplegats dispositius amb FortiOS, que revisen i apliquen aquelles actualitzacions que remeien les vulnerabilitats adés esmentades i recopilades en la taula següent:
| ID CVE | Riesgo | Producto afectado | Versiones corregidas |
|---|---|---|---|
|
CVE-2018-13379 |
Revelació d'informació |
FortiOS 6.0 - 6.0.0 a 6.0.4 FortiOS 5.6 - 5.6.3 a 5.6.7 FortiOS 5.4 - 5.4.6 a 5.4.12 Altres branques i versions no afectades si el servei SSL VPN (web-mode o tunnel-mode) està habilitat. |
FortiOS 5.4.13, 5.6.8, 6.0.5 o 6.2.0 i superiors. |
|
CVE-2020-12812 |
Operacional, Autenticació impròpia |
FortiOS 6.4.0 FortiOS 6.2.0 a 6.2.3 FortiOS 6.0.9 i inferiors. |
FortiOS 6.4.1 o posterior. |
|
CVE-2019-5591 |
Revelació d'informació |
FortiOS 6.2.0 i inferiors. |
FortiOS 6.0.3 a 6.2.0, habilitar l'opció CLI que comprova la identitat del servidor LDAP. |
Referències
- https://www.ic3.gov/Media/News/2021/210402.pdf
- CVE – CVE-2018-13379 (mitre.org)
- FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests | FortiGuard
- CVE – CVE-2020-12812 (mitre.org)
- FortiOS SSL VPN 2FA bypass by changing username case | FortiGuard
- CVE – CVE-2019-5591 (mitre.org)
- FortiGate default configuration does not verify the LDAP server identity. | FortiGuard