CISA ha revelado que ciberdelincuentes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) de FortiOS.
La vulnerabilidad (CVE-2024-23113) se debe a que el daemon fgfmd acepta como argumento una cadena de formato controlada externamente, lo que permite a los atacantes no autenticados ejecutar comandos o código arbitrario en dispositivos no parcheados en ataques de baja complejidad que no requieren la interacción del usuario.
Como explica Fortinet, el daemon vulnerable fgfmd se ejecuta en FortiGate y FortiManager, gestionando todas las peticiones de autenticación y los mensajes keep-alive entre ellos (así como todas las acciones resultantes como ordenar a otros procesos que actualicen archivos o bases de datos).
CVE-2024-23113 afecta a FortiOS 7.0 y posteriores, FortiPAM 1.0 y posteriores, FortiProxy 7.0 y posteriores, y FortiWeb 7.4.
Fortinet reveló y parcheó este fallo de seguridad en febrero cuando aconsejó a los administradores eliminar el acceso al demonio fgfmd para todas las interfaces como medida de mitigación diseñada para bloquear posibles ataques.
«Hay que tener en cuenta que esto impedirá el descubrimiento de FortiGate desde FortiManager. La conexión seguirá siendo posible desde FortiGate»»», dijo Fortinet.
«Hay que tener en cuenta también que una política local-in que sólo permita conexiones FGFM desde una IP específica reducirá la superficie de ataque, pero no evitará que la vulnerabilidad sea explotada desde esta IP. En consecuencia, esto debe ser utilizado como una mitigación y no como una solución completa.»