Detección de CVE-2024-55591: Vulnerabilidad Crítica de Día Cero en Fortinet FortiOS y FortiProxy Explotada Activamente en el Entorno
Tabla de contenidos:
A mediados de enero de 2025, surgió una nueva vulnerabilidad de omisión de autenticación en Fortinet FortiOS, CVE-2024-55591, como una amenaza grave para miles de organizaciones en riesgo de compromiso. Este fallo crítico de día cero expone los dispositivos firewall FortiGate a un posible compromiso, permitiendo a atacantes remotos obtener privilegios de superadministrador en los sistemas afectados. Fortinet ha confirmado que la vulnerabilidad está siendo explotada activamente en el entorno, requiriendo acción inmediata.
Actualización: El 28 de enero de 2025, WatchTowr Labs publicó recientemente un código de explotación PoC público para CVE-2024-55591, ahora disponible en GitHub, junto con los detalles técnicos en su investigación dedicada. Con informes de Shadowserver de casi 50K instancias afectadas en línea, los defensores alientan fuertemente a todos los usuarios de las versiones vulnerables a tomar acción rápida y aplicar todos los parches necesarios. Explore cómo detectar proactivamente los intentos de explotación de CVE-2024-55591 para superar los ciberataques y encuentre el análisis de la vulnerabilidad de omisión de autenticación de Fortinet FortiOS a continuación. vulnerability analysis below.
Detectar Intentos de Explotación de Omisión de Autenticación de FortinOS CVE-2024-55591
La detección proactiva de la explotación de vulnerabilidades continúa siendo una prioridad máxima en ciberseguridad debido al aumento constante en el número de vulnerabilidades identificadas. Con la severidad crítica y la explotación generalizada de CVE-2024-55591, los profesionales de seguridad requieren una fuente confiable de contenido de detección para detectar posibles ataques a tiempo.
La Plataforma SOC Prime para la defensa cibernética colectiva aborda esta necesidad proporcionando el primer feed de reglas de detección enriquecido con CTI de la industria para amenazas emergentes y existentes. Respaldado por un conjunto de productos comprensivos, la plataforma soporta la detección avanzada de amenazas, la ingeniería de detección impulsada por IA y la cacería automatizada de amenazas.
El equipo de SOC Prime ha lanzado recientemente una nueva regla Sigma para detectar intentos de explotación de CVE-2024-55591. La detección se basa en investigaciones disponibles públicamente junto con código PoC y requiere registros web de una fuente de front-end como WAF o un proxy inverso con datos de encabezados POST recopilados antes de que las solicitudes lleguen a cualquiera de los productos mencionados. La regla está alineada con MITRE ATT&CK®, abordando la táctica de Acceso Inicial y la técnica Exploit Public-Facing Application (T1190).
Presione el botón Explorar Detección a continuación para acceder inmediatamente al conjunto completo de reglas Sigma que abordan la vulnerabilidad de omisión de autenticación de Fortinet FortiOS alias intentos de explotación CVE-2024-55591. Las reglas están mapeadas al marco MITRE ATT&CK, enriquecido con información de amenazas extensa , y compatible con más de 30 soluciones SIEM, EDR y Data Lake., and compatible with 30+ SIEM, EDR, and Data Lake solutions.
Para proceder con la investigación, los defensores cibernéticos pueden buscar sin problemas los IOC proporcionados en el aviso de Fortinet. Confíe en el Uncoder AI de SOC Prime para crear consultas personalizadas basadas en IOC en cuestión de segundos y trabajar automáticamente con ellas en su entorno SIEM o EDR elegido. Anteriormente disponible solo para clientes corporativos, Uncoder AI ahora es accesible para investigadores individuales, ofreciendo sus capacidades completas. Consulte los detalles aquí.
Análisis de CVE-2024-55591
El 14 de enero de 2025, Fortinet emitió un aviso de seguridad sobre CVE-2024-55591, una vulnerabilidad crítica de omisión de autenticación que afecta a las versiones de FortiOS de la 7.0.0 a la 7.0.16, a las versiones de FortiProxy de la 7.0.0 a la 7.0.19, y a las versiones de FortiProxy de la 7.2.0 a la 7.2.12. El fallo permite a un atacante remoto y no autenticado explotar la vulnerabilidad enviando una solicitud manipulada al módulo websocket de Node.js. Si se explota con éxito, el atacante puede obtener privilegios de superadministrador en el dispositivo afectado.
WatchTowr Labs emitió recientemente un código de explotación PoC público para esta crítica omisión de autenticación en Fortinet FortiOS, CVE-2024-55591, junto con detalles técnicos en su informe dedicado.
Fortinet ha confirmado la explotación activa en el entorno de CVE-2024-55591, con investigaciones de Arctic Wolf que descubren una campaña maliciosa activa desde mediados de noviembre de 2024 y utilizando la vulnerabilidad en primer plano para comprometer dispositivos firewall FortiGate con interfaces de gestión expuestas a Internet. Según los investigadores, la campaña incluyó acceso administrativo no autorizado a interfaces de gestión del firewall, la creación de nuevas cuentas de usuario, el uso de esas cuentas para la autenticación SSL VPN y múltiples otras modificaciones a las configuraciones del dispositivo que ayudan a los actores de amenazas a establecer un camino hacia la red interna.
El aviso de Fortinet sugiere a los usuarios deshabilitar la interfaz administrativa HTTP/HTTPS o restringir el acceso a esta utilizando políticas locales-in para limitar qué direcciones IP pueden acceder a la interfaz. Además, se insta a los usuarios a actualizar a las siguientes versiones seguras, si es posible: FortiOS 7.0.17 o superior (para FortiOS 7.0), FortiProxy 7.0.20 o superior (para FortiProxy 7.0) y FortiProxy 7.2.13 o superior (para FortiProxy 7.2).
La Plataforma SOC Prime para la defensa cibernética colectiva permite a los equipos de seguridad superar amenazas cibernéticas de cualquier escala y sofisticación, incluidas las CVE en productos de software populares de los que la mayoría de las organizaciones dependen, mientras les ayuda a optimizar el riesgo de su postura de seguridad.
